RedBowlingBallRuth Skrevet 17. februar 2009 Del Skrevet 17. februar 2009 Hei! Jeg kjørte en full scan av dataren i går og den fant et virus, Trojan.Brsv.A!nf, som den ikke klarer å fjerne, men som må fjernes manuelt. Har lastet ned og kjørt hjelpe toolet på symantec.com, men den fant ingenting. Kjørte deretter full norton data scan, og den fant Trojan.Brsv.A!nf igjen. Brukte greia på symantec.com en gang til, men den sier den ikke finner noe. :S Hva skal jeg gjøre for å bli kvitt dette? Tusen takk fo enhver hjelp! Lenke til kommentar
raWrz Skrevet 17. februar 2009 Del Skrevet 17. februar 2009 folg veiledningen som er linket øverst i signaturen min og post loggene dine her Lenke til kommentar
RedBowlingBallRuth Skrevet 17. februar 2009 Forfatter Del Skrevet 17. februar 2009 Takk! Logg: Malwarebytes' Anti-Malware 1.34 Databaseversjon: 1768 Windows 6.0.6000 17.02.2009 14:02:38 mbam-log-2009-02-17 (14-02-38).txt Skanntype: Rask Skann Objekter skannet: 59600 Tid tilbakelagt: 11 minute(s), 7 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) Logg: ComboFix 09-02-15.01 - Ine 2009-02-17 14:12:40.1 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1044.18.1014.385 [GMT 1:00] Kjører fra: c:\users\Ine\Desktop\ComboFix.exe AV: Norton Internet Security *On-access scanning enabled* (Updated) FW: Norton Internet Security *enabled* * Opprettet nytt gjenopprettingspunkt . ((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\x64 . ((((((((((((((((((((((((((( Filer Opprettet Fra 2009-01-17 til 2009-02-17 ))))))))))))))))))))))))))))))))) . Ingen nye filer opprettet i dette tidsrommet . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-17 12:50 --------- d-----w c:\users\Ine\AppData\Roaming\Malwarebytes 2009-02-17 12:50 --------- d-----w c:\programdata\Malwarebytes 2009-02-17 12:50 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2009-02-17 08:50 --------- d-----w c:\programdata\Symantec 2009-02-15 21:15 --------- d-----w c:\users\Ine\AppData\Roaming\StumbleUpon 2009-02-12 02:01 --------- d-----w c:\program files\Windows Mail 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-01-15 04:16 826,368 ----a-w c:\windows\System32\wininet.dll 2009-01-15 04:16 56,320 ----a-w c:\windows\System32\iesetup.dll 2009-01-15 04:16 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll 2009-01-15 04:15 26,624 ----a-w c:\windows\System32\ieUnatt.exe 2009-01-10 21:36 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF 2009-01-10 21:36 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS 2009-01-10 21:36 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT 2009-01-10 21:36 --------- d-----w c:\program files\Symantec 2008-12-29 20:15 --------- d-----w c:\program files\Google 2008-12-11 17:25 174 --sha-w c:\program files\desktop.ini 2008-12-05 04:29 428,032 ----a-w c:\windows\System32\EncDec.dll 2008-12-05 04:29 292,352 ----a-w c:\windows\System32\psisdecd.dll 2008-12-05 04:29 1,244,672 ----a-w c:\windows\System32\mcmde.dll 2008-05-13 13:51 0 ----a-w c:\users\Ine\AppData\Roaming\wklnhst.dat 2008-06-10 16:52 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-06-10 16:52 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-06-10 16:52 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-10 1232896] "fsc-reg"="c:\programdata\fsc-reg\fscreg.exe" [2007-01-23 385040] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-29 39408] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-11-06 98304] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-11-06 106496] "Persistence"="c:\windows\system32\igfxpers.exe" [2006-11-06 81920] "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 729088] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-10-17 51048] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696] "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-01 c:\windows\RtHDVCpl.exe] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{FC1CCEEA-F275-4494-918F-38C13B64178F}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire "{1976A000-6C8C-46AC-B56F-18959A72F4F1}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire "{0D4D9263-E6DC-44F4-B177-F894FEE01CA8}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone) "{6119C763-F05B-4091-9D32-36080A74285C}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{3F9C04D6-C1C3-41D2-B2AD-9CC63142CC3F}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{C6B9E52B-A630-47AB-81F9-63F3A24F3765}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes "{CCF77548-7D94-431A-8E3D-B0E3291EAFB1}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes "{3020B345-C44E-4DAF-940E-6D06E8FF82B2}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{7DC39FE8-AA00-4A9F-A23C-45EC3B2CA39B}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{85986C2D-85CB-429D-94F9-2BF949F26E8C}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes "{BE00BBE2-3750-4BB6-B7A9-E3F980E7D954}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] "c:\\Program Files\\BitTorrent\\bittorrent.exe"= c:\program files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent R1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\ipsdefs\20090212.002\IDSvix86.sys [2009-02-15 270384] R2 LiveUpdate Notice;LiveUpdate Notice;c:\program files\Common Files\Symantec Shared\CCSVCHST.EXE [2008-11-09 149352] R3 COH_Mon;COH_Mon;c:\windows\System32\drivers\COH_Mon.sys [2007-05-29 23888] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-11-09 99376] R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\drivers\sis163u.sys [2007-01-31 217600] R3 SYMNDISV;SYMNDISV;c:\windows\System32\drivers\symndisv.sys [2008-06-13 41008] S2 Automatisk LiveUpdate-planlegging;Automatisk LiveUpdate-planlegging;c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe [2007-08-31 243064] --- Andre tjenester/drivere lastet i minnet --- *NewlyCreated* - COMHOST [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \shell\AutoRun\command - G:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c5cef5ff-9b80-11dd-a367-00030d5c0fb6}] \shell\AutoRun\command - G:\LaunchU3.exe -a . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) 2009-02-16 c:\windows\Tasks\Norton Internet Security - Kjør full systemskanning - Ine.job - c:\program files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-26 18:19] 2009-02-17 c:\windows\Tasks\Se etter oppdateringer for Windows Live Toolbar.job - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . - - - - TOMME PEKERE FJERNET - - - - HKCU-Run-BitTorrent - c:\program files\BitTorrent\bittorrent.exe . ------- Tilleggsskanning ------- . uStart Page = hxxp://www.google.no/ uInternet Settings,ProxyOverride = *.local uSearchURL,(Default) = hxxp://g.msn.no/0SENBNO/SAOS01?FORM=TOOLBR IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 IE: StumbleUpon PhotoBlog It! - StumbleUponIEBar.dll/blogimage . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-17 14:18:26 Windows 6.0.6000 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . Tidspunkt ferdig: 2009-02-17 14:22:00 ComboFix-quarantined-files.txt 2009-02-17 13:21:39 Pre-Run: Finner ikke meldingstekst for melding nummer 0x2379 i meldingsfilen for Application. Post-Run: 15,320,117,248 byte ledig 147 --- E O F --- 2009-02-17 02:02:35 Lenke til kommentar
r2d290 Skrevet 17. februar 2009 Del Skrevet 17. februar 2009 Jeg kan ikke se noe i loggen som tilsier at du har malware. Får du opp noen direkte adresse til hvor filen ligger? Hvis du gjør det, kan du gå til www.virustotal.com og laste opp filen, og poste resultatet her på forumet. Lenke til kommentar
RedBowlingBallRuth Skrevet 17. februar 2009 Forfatter Del Skrevet 17. februar 2009 Nei, ingen adresse såvidt jeg kan se. Men jeg har virkelig ikke peiling! Takk:) Lenke til kommentar
r2d290 Skrevet 17. februar 2009 Del Skrevet 17. februar 2009 (endret) Hvis det er 2009-versjon av norton antivirus du har, gjør du følgende: Start norton så du kommer til hovedmenyen, klikk på knappen "logg". Marker den linja som viser til trojaneren du viser til, og trykk på "Flere detaljer". Bla nedover i den grå listen, og trykk på "Risikoinformasjon". Velg fanen "Detaljer". Du skal de helt nederst se hvor fila ligger. edit: er det en annen versjon enn 2009 gjør du det sikkert på en tilsvarende måte. Let litt i programmet. Endret 17. februar 2009 av r2d290 Lenke til kommentar
RedBowlingBallRuth Skrevet 17. februar 2009 Forfatter Del Skrevet 17. februar 2009 (endret) Har 2009-versjonen av Norton antivirus, ja. Uff, nå føler jeg meg litt dum. Gjorde som du sa men kan ikke se noen referanse til trojaneren i loggen, selvom jeg så den komme opp på scannen jeg gjorde i dag morges. :S Endret 17. februar 2009 av RedBowlingBallRuth Lenke til kommentar
r2d290 Skrevet 17. februar 2009 Del Skrevet 17. februar 2009 Hmm, du får si ifra hvis det dukker opp igjen. Tror ikke det er så mye mer vi får gjort når vi ikke vet hvilken fil det er snakk om, eller at jeg ser noe i loggen. Maskinen fungerer ellers greit? Combofix må avinstalleres. Gå til Start > Kjør Skriv følgende i boksen: ComboFix /u PS: legg merke til mellomrommet mellom X og /u Du skal nå ha noe som tilsvarer bildet nedenfor: Trykk Enter. Denne kommandoen vil: Fjerne følgende:ComboFix og dets tilhørende filer og mapper. VundoFix backups, hvis de eksisterer. Mappen C:\Deckard, hvis den eksisterer Mappen C:\OtMoveIt, hvis den eksisterer [*] Nullstille klokke-instillingene. [*] Skjule filetternavn hvis det er nødvendig. [*] Skjule System/Skjulte filer og mapper hvis det er nødvendig. [*] Nullstille systemgjennoprettingspunkter. Sørg forøvrig for at Java, Flash player og Adobe reader er oppdatert, i tillegg til Windows. Lenke til kommentar
RedBowlingBallRuth Skrevet 18. februar 2009 Forfatter Del Skrevet 18. februar 2009 I følge pappa, som forøvrig heller ikke har peiling, så mistenkte han en sang for å være kilden. Denne sangen er nå slettet, men ser ut som viruset er her enda. Maskinen fungerer som vanlig, har egentlig ikke merket noen forandring. En kamerat av meg foreslo at Norton har en "hikke", og at dataen faktisk ikke er infisert i det hele tatt. (Note: kamerat tror han har peiling, men har vel egentlig strengt tatt ikke det) Er dette en mulighet i det hele tatt? Når jeg prøvde å avintsallere ComboFix slik du viste meg, kom det opp en melding som sier at "utgiveren ikke kan veriferes. Er du sikker på at du vil kjøre denne programvaren?" Svarer jeg ja da, så starter bare ComboFix igjen, og starter en søk. Tusen takk for hjelpen! Lenke til kommentar
r2d290 Skrevet 18. februar 2009 Del Skrevet 18. februar 2009 Ja jeg har samme formening som kammeraten din. Derfor jeg ønsket at du skulle sjekke filen med virustotal for å se om andre antivirusprogram også slår ut på filen. Men det er jo litt vanskelig når vi ikke vet hvor filen er... Enten har jeg oversett noe i loggen, eller så vil jeg tro at dette er en falsk positiv. Du er helt sikker på at du skriver alt det som står bildet i posten min? altså combofix /u Det var rart at den startet opp igjen med et nytt søk... Prøv en gang til, og hvis det ikke fungerer får vi se på om det finnes andre muligheter for å fjerne combofix. Lenke til kommentar
RedBowlingBallRuth Skrevet 20. februar 2009 Forfatter Del Skrevet 20. februar 2009 Ok, det var betryggende å høre at du har samme mening. Håper det er en hikke! Ja, gjorde akkurat det du skrev i posten din, og det samme skjedde når jeg prøvde på nytt nå. :S Lenke til kommentar
norbat Skrevet 20. februar 2009 Del Skrevet 20. februar 2009 (endret) Når Norton finner noe - hvor skal dette ligge (du kan klikke på 'virus-navnet' så vil du få info om hvor fila ligger på systemet). For å slette det den finner, restarter du pc'n i sikker modus (tapp F8 under oppstart, velg sikker modus) og sletter fila/filene derfra (antar at det er noen mediafiler som er infisert). Endret 20. februar 2009 av norbat Lenke til kommentar
snippsat Skrevet 20. februar 2009 Del Skrevet 20. februar 2009 (endret) Kjør Nortons scan for å lokalisere hvilken fil Trojan.Brisv.A befinner deg (klikk på selve navnet Trojan.Brisv.A i resultatet og deretter detaljer) Plassering skal se sånn ut. Eksp hvordan veien vil se ut(selvfølgelig ikke den veien for deg) c:\programfiler\media\<div.mp3> Detter som regel mediafil(mp3) Trojan.Brisv.A infiserer mediafiler. Når du har funnet banen start i sikkerhetmodus slett filen. Boot trykk F8 flere ganger,velg sikkerhetmodus. Du kan også prøve verktøyet til norton. http://www.symantec.com/content/en/us/glob...s/FixBrisvA.exe Når problemet er borte må du resette systemgjennopretting. Dette gjør du med combofix som postet over,har du gjort det tar vi det manuelt sånn. Kontrollpanel->system->systemgjenoppretting[slå av systemgjenoppretting ->restart]-*-[slå på systemgjenoppretting igjen] Endret 20. februar 2009 av SNIPPSAT Lenke til kommentar
madmats Skrevet 20. februar 2009 Del Skrevet 20. februar 2009 (endret) Jeg hjalp noen med å prøve fjerne samme virus. kjørte mbam,superantispyware og combofix og verktøyet fra symantec, men ingen av disse fant de infiserte mediafilene og norton fant fremdeles trojaneren (var norton 2008 og jeg fant ikke fram til hvor norton mente den lå) men onlinescanneren til eset fant 8 stk infiserte mp3er, så du kan jo forsøke den du og hvis du ikke finner hvor norton mener filene ligger.. http://www.eset.com/onlinescan/ (har du vista må du kanskje først starte IE med admin rettigheter ved å høyreklikke på internett explorer og velge 'kjør som administrator') må i tilegg nevne at Norton fremdeles fant trojaneren ved søk etter dette Endret 20. februar 2009 av madmats Lenke til kommentar
snippsat Skrevet 21. februar 2009 Del Skrevet 21. februar 2009 (var norton 2008 og jeg fant ikke fram til hvor norton mente den lå) Les min siste post. Dette er hvordan du finner plassering med norton. Kjør Nortons scan for å lokalisere hvilken fil Trojan.Brisv.A befinner deg (klikk på selve navnet Trojan.Brisv.A i resultatet og deretter detaljer) Jeg bruker ikke norton,men aller sikkerhetsproduket skal gi plassering hvor dem finner noe grums. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå