zokutai Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Så, jeg har prøvd de forskjellige løsningene som står her på siden, combo fix etc. . Når jeg prøver combo fix, får jeg mye "error" meldinger som sier at antivirus programmet mitt kan gjøre så det ikke funker ordentlig.. får i allefall en logg da.. så om noen kan hjelpe meg å fortelle meg hvordan jeg kan få dette viruset bort (uten å ta format c).. Antivirus programmet mitt (AVG Free) oppdager det ikke.. såh.. vet ikke hva jeg skal gjøre lenger jeg :S Har lagdt med Combofix.txt .. såh.. ja.. vet ikke hva mer jeg ske si jeg ComboFix.txt Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Ja, det ligger litt rusk der. Hvis du ikke har kjørt en rask skann med Malwarebytes AntiMalware, så gjør du det først: Last ned Malwarebytes Anti-Malware til skrivebordet. Kjør og installer programmet. Velg Norsk-språk La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann. Det kommer en meldingsboks om at scannen er ferdig, klikk Ok Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet. Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet. Det vil deretter åpnes en logg i notisblokk. Den kan du kopiere og poste senere. Kjør på nytt combofix og post loggen sammen med Malwarebytes-loggen. Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 Sånn, her er loggen for begge greiene.. Får mye feilmeldinger og dritt når jeg kjører combofix... er altid sånn syns jeg >-< altid noe problemer med pc'n min.. gah Håper noen her kan hjelpe ComboFix.txt mbam_log_2009_03_08__19_25_02_.txt Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. File:: c:\windows\pic0382.zip c:\windows\friendgoldsmaria.imageshack.com.zip c:\windows\sparco__1990.imageshack.com.zip c:\windows\hotwired70.imageshack.com.zip c:\windows\yoowedy.imageshack.com.zip c:\windows\enur_o.imageshack.com.zip c:\windows\kelgan_tehpwner.imageshack.com.zip c:\windows\big_dog_snuppy.imageshack.com.zip c:\windows\jean_gronvik.imageshack.com.zip c:\windows\kjetil_deer.imageshack.com.zip c:\windows\jimmi_wow89.imageshack.com.zip c:\windows\luffy_liao.imageshack.com.zip c:\windows\xerroxi90.imageshack.com.zip c:\windows\okusagi.imageshack.com.zip c:\windows\bulla41.imageshack.com.zip c:\windows\pic0382.MSNFix c:\windows\Tasks\AD6EE54895F9601C.job Folder:: c:\programfiler\DRAW AXIS WAVE c:\documents and settings\Eier\Programdata\DRAW AXIS WAVE c:\documents and settings\All Users\Programdata\save time iso data Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TeamFace"=- "winfw"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "iso data fast cast"=- "winfw"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "winfw"=- Post ny combofix-logg. Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 Har fått opp 2 filer på skrivebordet mitt nå.. en Notepad greie som heter "Catchme" og en mappe som heter "uploadme" med noen zip greier i.. hva skal jeg gjøre? Takk. ComboFix.txt Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 (endret) Fint. Vi skal fjerne en fil til med før det skal du gjøre følgende: Sørg for at du kan se skjulte filer og mapper, samt beskyttede operativsystemfiler: Kontrollpanel->mappealternativer->vis Sett merke framfor "Vis skjulte filer og mapper" Fjern merket framfor "Skjul beskyttede operativsystemfiler" Gå deretter til nettstedet: Virustotal og last opp følgende fil for sjekk: c:\windows\system32\wmisrv32.exe Gi tilbakemelding på hva som ble funnet på fila. Edit: De to filene du nevner, er antakelig knyttet til et prog. som heter MSNFix. Har du kjørt noe slikt? Endret 8. mars 2009 av norbat Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 File has already been analysed: MD5: 3ef79305b1bebddcc44af4c44d56631b First received: 02.17.2009 14:09:17 (CET) Date: 03.05.2009 23:32:20 (CET) [>2D] Results: 2/39 trykka på en "permalink" sak, da kom det opp en laang liste, men på toppen sto det. File wmisrv32.exe received on 03.05.2009 23:30:21 (CET) Current status: finished Result: 2/39 (5.13%) Har MSNfix på maskin ja, har testa alt som sto her på siden så Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Kunne du latt virustotal skannet fila igjen og deretter kopiert og postet resultatet? Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 File wmisrv32.exe received on 03.08.2009 21:09:09 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 1/37 (2.71%) Loading server information... Your file is queued in position: 1. Estimated start time is between 38 and 55 seconds. Do not close the window until scan is complete. The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result. If you are waiting for more than five minutes you have to resend your file. Your file is being scanned by VirusTotal in this moment, results will be shown as they're generated. Compact Compact Print results Print results Your file has expired or does not exists. Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time. You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished. Email: Antivirus Version Last Update Result a-squared 4.0.0.101 2009.03.08 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.105 2009.03.07 - Authentium 5.1.0.4 2009.03.08 - Avast 4.8.1335.0 2009.03.08 - AVG 8.0.0.237 2009.03.08 - BitDefender 7.2 2009.03.08 - CAT-QuickHeal 10.00 2009.03.07 - ClamAV 0.94.1 2009.03.06 - Comodo 1037 2009.03.08 - DrWeb 4.44.0.09170 2009.03.08 - eSafe 7.0.17.0 2009.03.08 - eTrust-Vet 31.6.6386 2009.03.06 - F-Prot 4.4.4.56 2009.03.08 - Fortinet 3.117.0.0 2009.03.08 - GData 19 2009.03.08 - Ikarus T3.1.1.45.0 2009.03.08 - K7AntiVirus 7.10.663 2009.03.07 - Kaspersky 7.0.0.125 2009.03.08 - McAfee 5547 2009.03.08 - McAfee+Artemis 5547 2009.03.08 - Microsoft 1.4405 2009.03.08 - NOD32 3917 2009.03.07 - Norman 6.00.06 2009.03.06 - nProtect 2009.1.8.0 2009.03.08 Trojan/W32.Agent.376832.AE Panda 10.0.0.10 2009.03.08 - PCTools 4.4.2.0 2009.03.08 - Rising 21.19.42.00 2009.03.06 - SecureWeb-Gateway 6.7.6 2009.03.08 - Sophos 4.39.0 2009.03.08 - Sunbelt 3.2.1858.2 2009.03.08 - Symantec 1.4.4.12 2009.03.08 - TheHacker 6.3.2.7.275 2009.03.07 - TrendMicro 8.700.0.1004 2009.03.06 - VBA32 3.12.10.1 2009.03.08 - ViRobot 2009.3.7.1639 2009.03.07 - VirusBuster 4.5.11.0 2009.03.08 - Additional information File size: 412791 bytes MD5...: 3ef79305b1bebddcc44af4c44d56631b SHA1..: dfedb05393630a5fa288413d40c7d0ea88c4b2f6 SHA256: 0e99f53e7ca8f362f7455f3183f363e464518a649a777055518fa75b9aa6d8a7 SHA512: 630db9360fc4d314cbe3b9db845af2a7a63181051595635fedd5d776abfdc6e7 15b069fa20d2cc76237e4829d6c6001fe498ae58b907854ab37945a51b3077b7 ssdeep: 12288:Ys6vQO9gW70UqyENrtShUDfcFMv7BU8arXh:z6Y4geYHShKcmTZarR PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x139f timedatestamp.....: 0x4974fa2b (Mon Jan 19 22:09:47 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x6d0d 0x6e00 6.60 6ea39a4801d097846599f04b021c6ccc .tr1p0d 0x8000 0x661c 0x6800 5.97 21537ad201a3992ea20eab286759ab14 .rsrc 0xf000 0x57010 0x57200 8.00 3b1cfb894ba95ab4322e77a953273f58 ( 1 imports ) > KERNEL32.dll: CreateFileA, lstrcatA, CloseHandle, LoadLibraryA, GetModuleFileNameA, GetModuleHandleA, ContinueDebugEvent, IsDebuggerPresent, WaitForDebugEvent, lstrlenA, FreeLibrary, GetTempPathA, CheckRemoteDebuggerPresent, GetCurrentProcess, WriteFile, CreateProcessA, GetProcAddress, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetLastError, RaiseException, ExitProcess, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, DeleteCriticalSection, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, LeaveCriticalSection, EnterCriticalSection, VirtualAlloc, HeapReAlloc, Sleep, HeapSize, InitializeCriticalSection, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, RtlUnwind, MultiByteToWideChar, GetLocaleInfoA, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW ( 0 exports ) Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 (endret) Kunne du ha zippet fila og sendt den på mail til [email protected] ? Deretter høyreklikker du på fila og endrer filendelsen: wmisrv32.exe -> wmisrv32.exe.vir Virker det som om msn-problemet er borte? Endret 8. mars 2009 av norbat Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 Nå er jeg ikke helt med her.. Hvilken fil skal jeg zippe? Og om problemet er borte, det vet jeg ikke, for jeg tør ikke gå på msn lenger øh.. ja Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Høyreklikk på fila wmisrv32.exe, velg Send til... -> komprimert (zippet) mappe. Den sender du til nevnte mailadr. Og, start opp msn Lenke til kommentar
zokutai Skrevet 8. mars 2009 Forfatter Del Skrevet 8. mars 2009 Gjort og gjort.. Men detta virus greiene sender bare sånn dritt nå og da.. så .. får vel bare vente og se om det skjer igjen heh.. Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Du skulle ikke trenge å bekymre deg noe mer over msn-infeksjonen. Den er fjernet. Vi skal rydde litt opp etter oss, men skal bare få sjekket den filen du sendte først. Lenke til kommentar
norbat Skrevet 8. mars 2009 Del Skrevet 8. mars 2009 Da sletter du fila c:\windows\system32\wmisrv32.exe (den du renamet). Deretter gjør du følgende: I kjør-feltet (start->kjør), skriver du: combofix /u Dette vil fjerne combofix + nullstille systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere. Behold gjerne Malwarebytes antimalware. Sørg forøvrig at Java, Flash player og Adobe reader er oppdatert i tillegg til Windows. Surt trygt. Lenke til kommentar
zokutai Skrevet 9. mars 2009 Forfatter Del Skrevet 9. mars 2009 Virker som alt er bra nå ja tusen TUSEN takk for hjelpen!! Lenke til kommentar
norbat Skrevet 9. mars 2009 Del Skrevet 9. mars 2009 (endret) En liten detalj som ble glemt: Klikk Start->Kjør Skriv: regedit Bla deg fra til følgende oppføring: Hkey_Local_Machine\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List Når du har klikket på List, vil du i høyre felt få opp ei liste med div oppføringer. Der høyreklikker du på c:\\WINDOWS\\system32\\wmisrv32.exe og velger slett. Lukk regedit. Endret 9. mars 2009 av norbat Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå