Virus som later som det er et virusprogram

[Chris2407]

Hei!!

 

Trenger hjelp med et problem jeg har fått med pc'en min. For noen dager siden fikk jeg en pop-up som gjorde at et antivirusprogram installerte seg selv, uten at jeg fikk gjort noe. Tror det het XP Police eller noe lignende. Jeg søkte deretter rundt i forumet og fant noe som lignet(antivirus xp2008). Jeg prøvde å følge instruksene som stod der. Det gikk ut på å laste ned Malwarebytes Anti-Malware og kjøre en scan, og deretter kjøre combofix.

 

Etter dette virket det som om problemet ble borte, i hvertfall de to-tre første dagene. Men nå er problemet tilbake igjen Ser ikke ut som det samme programmet har innstalert seg igjen, finner det i hvertfall ikke Jeg merker det mest når jeg er på internet. Det er mange sider jeg ikke kommer inn på, men blir i stedet sendt videre til en annen side som har med viruset som utgjør seg å være et antivirusprogram, i tillegg får jeg pop-ups som utgir seg å være virusprogrammer. Jeg har prøvd å kjøre Malwarebytes Anti-Malware igjen. Men jeg får ingen respons når jeg prøver å åpne det.

 

Håper noen kan hjelpe meg med problemet??

 

Link til antivirus xp2008 tråden hvis den kan hjelpe

https://www.diskusjon.no/index.php?showtopic=1000394

[norbat]

Får du heller ikke kjørt Combofix?

 

Sjekk følgende:

Et rootkit som er rimelig vanlig for tiden, er TDSSserv.sys.

Denne gjør at du blir redirected til 127.0.0.1, som er din egen pc - altså ingen oppdatering er mulig. Denne malwaren forhindrer de fleste av-programmer å kjøre (inkl. onlineskannere i normal/sikker modus). Denne infeksjonen forhindrer også at av-programmet kjører overhode.

 

Hvordan gå fram for å fjerne dette:

 

Stopp TDSSserv.sys slik at du får mulighet til å hente f.eks. MBAM. Før du installerer MBAM, endrer du navnet på installasjonsfila til noe annet eks. navnetditt.exe. Om man ikke får oppdatert programmet, så kjør allikevel en rask skann med mbam.

 

Du stopper tjenesten ved å gjøre følgende:

Gå til Kontrollpanel->System->Maskinvare->Enhetsbehandling

Velg Vis->Vis skjulte enheter

Klikk på plusstegnet framfor "Drivere som ikke er Plug and Play-kompatible"

Bla deg ned til TDSSserv.sys, høyreklikk på fila og velg Deaktiver.

 

Restart pc'n.

 

---

Hvis du ikke finner TDSSserv.sys, så prøv og start opp i sikker modus (tapp F8 under oppstart) og kjør MBAM / Combofix derfra.

[Chris2407]

Takk for svar!!

 

Har ikke prøvd å kjøre combofix. Skal jeg prøve å kjøre det før jeg prøver å stoppe TDSSserv.sys??

[norbat]

Hvis du finner TDSSserv.sys, så deaktiverer du denne og kjører Malwarebytes først.

[Chris2407]

Prøvde å kjøre combofix, men fikk ingen respons på det heller. Jeg prøvd derfor å finne TDSSserv.sys rootkiten, men fant den desverre ikke. Etter det prøvde jeg det siste du alternativet du nevnte om å starte opp i sikker modus, for så å kjøre Malwarebytes Anti-Malware/Combofix.

 

Men fikk ikke kjørt noen av disse programmene derifra heller

 

Har du noen andre forslag til hva jeg kan gjøre?

[norbat]

Last ned Roguefix, legg det på skrivebordet.

 

Restart i sikker modus

 

Kjør .bat-fila og følg veiledningen.

 

Kjør deretter en rask skann med Malwarebytes før du restarter i normal modus.

 

Kjør deretter Combofix og post loggen sammen med loggen MBAM laget

[Chris2407]

Fikk kjørt rougefix, men får fremdeles ikke kjørt MBAM eller combofix.

 

Hvis det hjelper har jeg MBAM loggen fra første gang dette problemet oppstod, så jeg legger den ved.

mbam_log_2009_02_16__12_18_30_.txt

[norbat]

Se om du får lastet ned og kjørt Dr.Web

[snippsat]

Du får kjørt denne tenker jeg.

 

Last ned DDS.scr

Post loggen den lager.

[Chris2407]

Fikk kjørt Dr. Web og den fant en trussel på Express Skann

Status: BackDoor.Tdss.84

 

Og på Full Skann

Den samme som over pluss

Trojan.DownLoader.33840

Trojan.WMALoader

Trojan.Inject.5065

Endret 24. februar 2009 av Chris2407

[Chris2407]

Kjørte også DDS.scr og her er loggene

DDS.txt

Attach.txt

Endret 24. februar 2009 av Chris2407

[norbat]

Så, hvis du nå laster ned ny Combofix - får du kjørt programmet nå?

[Chris2407]

Jeg har allerede lastet ned combofix fra før av, men får ikke åpnet det eller fjernet det!! Kan jeg allikevel laste det ned på nytt eller har det noe å si??

[norbat]

Ja, bare last ned ny og si evt. ja til å erstatte den som ligger der fra før.

[Chris2407]

Jeg kjører fremdeles også en Full Skann med Dr. Web siden det var å annbefale hvis man først hadde fått en trussel, så den holder på å kjøre enda! Så jeg burde vel vente til den er ferdig før jeg laster ned og kjører Combofix.

[norbat]

Ja, vent til Dr.web er ferdigkjørt.

[Chris2407]

Holder på å kjøre Combofix nå, og det har kjørt en stund! Men usikker på en ting, det står nemelig at Combofix ikke finner Batch Label speciefied Check_Hal Og det har kjørt en stund(rundt 20min) nå uten at noe mer har skjedd..

[norbat]

Hva er det du ser på skjermen?

[Chris2407]

Combofix vinduet er oppe og det står følgende:

 

Scanning for infected files...

This typically doesn't take more than 10 minutes

Howerver, scan time for badly infected machines may easily double

 

ComboFix has changed your clock settings.

Do not change it back. It shall be restored later

 

Completed Stage_49

 

Deleting Files:

 

c:\WINDOWS\system32\VACexwbxfmm.dll

c:\WINDOWS\system32\VACfiosjnqw.dll

c:\WINDOWS\system32\VACicimttit.dat

c:\WINDOWS\system32\VACuduplrmd.db

 

The system cannot find the batch label specified -- Check_Hal

[norbat]

- og situasjonen er fortsatt slik som i ditt siste innlegg?