simenmas Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 Hei, fikk i dag malware på maskinen. Det er noe jeg absolutt ikke får vekk. Har prøvd med malwarebytes og superantispyware. Det utgir seg for å være "vista internet security" og er til og med oversatt til norsk. Design ligner på en plett på Security Center. I oppgavebehandling kjører "av.exe". hvis jeg avslutter denne prosessen så forsvinner problemet i 2 min bare for å komme igjenn. Jeg har prøvd å lokalisere "av.exe" ved å "åpne filplassering" via oppgavebehandling men den er ikke å finne. (Jeg har synlige "skjulte filer). Etter litt googling så fant jeg en post på yahoo answers som var postet 26.jan, så det kan se ut som dette er ganske nytt. (i alle fall en ny utgave av et tidligere kjent problem). Finner ikke noe annet på "vista internet security" vis google. Npr jeg prøvde malwarebytes og superantispyware kjørte jeg det i "sikker modus", men programmene fant bare små deler og fjernet ikke problemet. De fant altså ikke denne "av.exe" som kjøres. Jeg har også prøvd en del andre malware programmer uten hell. (spyware search and destroy). Har også kjørt AVG free. Er det noen som har noen tips om hva jeg kan gjøre videre? Simen Lenke til kommentar
PerB Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 Se sticky i toppen av forumet og legg ved logger etter kjøring av programmene. Lenke til kommentar
circa542 Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 jeg har samme trojan bare xp versjon det som er fett er at de har sperret alle virus programmer får ikke installert nye heller Lenke til kommentar
simenmas Skrevet 28. januar 2010 Forfatter Del Skrevet 28. januar 2010 Se sticky i toppen av forumet og legg ved logger etter kjøring av programmene. Jeg tror jeg fikset problemet etter en oppdatering i dag, sjekket i dag via google og det har kommet fler poster på nett om samme problem. Det er kanskje derfor dagens oppdatering fikk med seg problemet. Det så ut som SUPERantispyware to "av.exe" filen etter oppdatering. Her legger jeg log fra "mbam". Dette ble gjort etter jeg kjørte "superantispyware". Jeg finner ikke loggen til combofix noe sted. Malwarebytes' Anti-Malware 1.44 Databaseversjon: 3649 Windows 6.0.6001 Service Pack 1 (Safe Mode) Internet Explorer 7.0.6001.18000 28.01.2010 13:29:29 mbam-log-2010-01-28 (13-29-25).txt Skanntype: Rask Skann Objekter skannet: 93252 Tid tilbakelagt: 3 minute(s), 4 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 1 Registerverdier infisert: 0 Registerfiler infisert: 1 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> No action taken. Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> No action taken. Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) Lenke til kommentar
norbat Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 Combofixloggen ligger vanligvis på c:\combofix.txt Hvis den ikke ligger der, prøv et søk. Lenke til kommentar
simenmas Skrevet 28. januar 2010 Forfatter Del Skrevet 28. januar 2010 Combofixloggen ligger vanligvis på c:\combofix.txtHvis den ikke ligger der, prøv et søk. Jeg skal gjøre det så fort jeg kommer hjem fra jobb. takk for hjelpen. Snakket akkurat med broren min og han fikk samme virus i går. Det er ut som dette kan være et ganske nytt og litt stort? Lenke til kommentar
norbat Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 Det finnes en hel bråte med slike falske sikkerhetsprogrammer, noen værre å bli kvitt enn andre. Malwarebytes er rimelig kjapp med å oppdatere definisjonene, og er man 'heldig' slik at malwarebytes starter opp, så blir man kvitt det rimelig greit. Lenke til kommentar
simenmas Skrevet 28. januar 2010 Forfatter Del Skrevet 28. januar 2010 her kommer loggen fra Combofix: ComboFix 10-01-27.05 - Simen 28.01.2010 13:36:34.1.2 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.47.1044.18.3071.1967 [GMT 1:00] Kjører fra: c:\users\Simen\Desktop\ComboFix.exe SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9} SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7} SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . ((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\$recycle.bin\S-1-5-21-2504621046-444704437-228946139-500 c:\users\Simen\AppData\Local\Microsoft\Windows\Temporary Internet Files\58yb58kBM.jpg c:\users\Simen\AppData\Local\Microsoft\Windows\Temporary Internet Files\7bmjXl.jpg c:\users\Simen\AppData\Local\Microsoft\Windows\Temporary Internet Files\b40yO.jpg c:\users\Simen\AppData\Local\Microsoft\Windows\Temporary Internet Files\BMBxB5LY0.jpg . ((((((((((((((((((((((((((( Filer Opprettet Fra 2009-12-28 til 2010-01-28 ))))))))))))))))))))))))))))))))) . 2010-01-28 11:39 . 2010-01-28 11:39 343040 --sha-w- c:\users\Simen\AppData\Local\MSASCui.exe 2010-01-27 22:48 . 2010-01-27 22:48 52224 ----a-w- c:\users\Simen\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll 2010-01-27 22:48 . 2010-01-28 11:32 117760 ----a-w- c:\users\Simen\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2010-01-27 22:46 . 2010-01-27 22:46 -------- d-----w- c:\programdata\SUPERAntiSpyware.com 2010-01-27 22:46 . 2010-01-27 22:46 -------- d-----w- c:\program files\SUPERAntiSpyware 2010-01-27 22:46 . 2010-01-27 22:46 -------- d-----w- c:\users\Simen\AppData\Roaming\SUPERAntiSpyware.com 2010-01-27 22:45 . 2010-01-27 22:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard 2010-01-27 16:12 . 2010-01-27 16:45 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-01-27 16:12 . 2010-01-27 16:31 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2010-01-10 16:28 . 2010-01-10 16:28 -------- d-----w- c:\programdata\ATI 2010-01-10 14:25 . 2010-01-10 14:25 -------- d-----w- c:\users\Simen\AppData\Roaming\BOXEE 2010-01-10 14:22 . 2009-09-04 16:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll 2010-01-10 14:20 . 2010-01-10 14:25 -------- d-----w- c:\program files\Boxee . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-28 12:34 . 2008-01-21 06:14 76272 ----a-w- c:\windows\system32\perfc014.dat 2010-01-28 12:34 . 2008-01-21 06:14 452088 ----a-w- c:\windows\system32\perfh014.dat 2010-01-28 12:31 . 2009-06-02 12:02 -------- d-----w- c:\users\Simen\AppData\Roaming\Dropbox 2010-01-28 12:22 . 2009-01-05 15:27 -------- d-----w- c:\users\Simen\AppData\Roaming\uTorrent 2010-01-28 12:14 . 2009-10-13 07:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-28 00:02 . 2009-05-18 18:41 -------- d-----w- c:\program files\Steam 2010-01-27 16:32 . 2009-12-25 02:38 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-01-25 13:58 . 2009-01-12 17:22 -------- d-----w- c:\users\Simen\AppData\Roaming\Spotify 2010-01-22 18:32 . 2009-06-02 13:32 1 ----a-w- c:\users\Simen\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-01-20 20:37 . 2010-01-20 20:37 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf 2010-01-14 10:12 . 2009-10-02 18:48 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-10 16:26 . 2007-05-20 05:53 -------- d-----w- c:\program files\ATI Technologies 2010-01-07 15:07 . 2009-10-13 07:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-10-13 07:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-03 15:58 . 2009-04-14 19:59 -------- d-----w- c:\program files\K-Lite Codec Pack 2009-12-26 22:03 . 2009-03-04 13:44 -------- d-----w- c:\programdata\avg8 2009-12-15 23:14 . 2009-12-15 23:14 -------- d-----w- c:\program files\TightVNC 2009-12-02 04:05 . 2009-02-07 17:05 -------- d-----w- c:\users\Simen\AppData\Roaming\dvdcss . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2009-06-27 03:02 77824 ----a-w- c:\users\Simen\AppData\Roaming\Dropbox\bin\DropboxExt.3.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2009-06-27 03:02 77824 ----a-w- c:\users\Simen\AppData\Roaming\Dropbox\bin\DropboxExt.3.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2009-06-27 03:02 77824 ----a-w- c:\users\Simen\AppData\Roaming\Dropbox\bin\DropboxExt.3.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885400] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-01-05 2002160] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184] "RtHDVCpl"="RtHDVCpl.exe" [2007-06-20 4493312] "WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-12 2043160] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2008-01-21 215552] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-29 61440] c:\users\Simen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dropbox.lnk - c:\users\Simen\AppData\Roaming\Dropbox\bin\Dropbox.exe [2009-8-29 26784939] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk backup=c:\windows\pss\Empowering Technology Launcher.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^Users^Simen^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk] path=c:\users\Simen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk backup=c:\windows\pss\OpenOffice.org 3.1.lnk.Startup backupExtension=.Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2008-12-29 10:40 687560 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] 2009-02-06 17:52 3885400 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] 2009-05-19 11:48 1217784 ----a-w- c:\program files\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2504621046-444704437-228946139-1000] "EnableNotificationsRef"=dword:00000001 R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [04.03.2009 14:44 335240] R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\drivers\avgtdix.sys [04.03.2009 14:44 108552] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05.01.2010 07:56 9968] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05.01.2010 07:56 74480] R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [18.05.2009 20:05 297752] S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [22.01.2009 16:13 717296] S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [27.01.2010 17:12 1153368] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05.01.2010 07:56 7408] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] WindowsMobile REG_MULTI_SZ wcescomm rapimgr LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr . . ------- Tilleggsskanning ------- . mStart Page = hxxp://no.intl.acer.yahoo.com FF - ProfilePath - c:\users\Simen\AppData\Roaming\Mozilla\Firefox\Profiles\2fz92w1w.default\ FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll FF - component: c:\users\Simen\AppData\Roaming\Mozilla\Firefox\Profiles\2fz92w1w.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll ---- FIREFOX POLICIES ---- c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".no"); . - - - - TOMME PEKERE FJERNET - - - - HKLM-Run-eRecoveryService - (no file) MSConfigStartUp-Ginipic - c:\program files\Ginipic\Ginipic.Bootstrapper.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-28 13:41 Windows 6.0.6001 Service Pack 1 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . Tidspunkt ferdig: 2010-01-28 13:43:13 ComboFix-quarantined-files.txt 2010-01-28 12:43 Pre-Run: 76 910 624 768 byte ledig Post-Run: 76 857 991 168 byte ledig - - End Of File - - C132520538B96F2154DD0747620FB085 Lenke til kommentar
norbat Skrevet 28. januar 2010 Del Skrevet 28. januar 2010 Loggen ser grei ut. Du kan avinstallere combofix ved å skrive combofix /uninstall fra kjør/søk-feltet. Dette vil også nullstille systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere. Lenke til kommentar
simenmas Skrevet 28. januar 2010 Forfatter Del Skrevet 28. januar 2010 Loggen ser grei ut. Du kan avinstallere combofix ved å skrive combofix /uninstall fra kjør/søk-feltet. Dette vil også nullstille systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere. Takker:) trodde jeg fikk det vekk, men var ikke sikker. Skal kjøre oppdatert malwarebytes p åde andre maskinene også. Kan ikke tenke meg helt hvor jeg har fått viruset fra så det er store sjanser for at det kan ligge der også. Lenke til kommentar
tommy28 Skrevet 5. februar 2010 Del Skrevet 5. februar 2010 "vista internet security" blokkerer meg fra å komme på internett, såp jeg får ikke lastet ned antispyware.. hva kan jeg gjøre? Lenke til kommentar
norbat Skrevet 5. februar 2010 Del Skrevet 5. februar 2010 "vista internet security" blokkerer meg fra å komme på internett, såp jeg får ikke lastet ned antispyware..hva kan jeg gjøre? Hvis du ikke kommer deg på nett, så må du bruke en annen pc og gjøre følgende: Hent Malwarebytes Anti-malware, legg fila på skrivebordet Endre programendelsen mbam-setup.exe til mbam-setup.com Installer programmet Deretter går du til programmappa (programfiler\malwarebytes anti-malware) og finner mbam.exe. Den endrer du til mbam.com Dobbeltklikk på mbam.com slik at programmet starter. Oppdater og kjør deretter en rask skann. Hvis programmet får kjøre og den får slettet det den skal, endrer du mbam.com tilbake til mbam.exe etterpå. Lenke til kommentar
OPL Skrevet 7. februar 2010 Del Skrevet 7. februar 2010 Har det samme problemet, jeg får slettet det med malware men det kommer tilbake igjen etter 1-2 dager, noe jeg kan gjøre ? Lenke til kommentar
norbat Skrevet 7. februar 2010 Del Skrevet 7. februar 2010 Har det samme problemet, jeg får slettet det med malware men det kommer tilbake igjen etter 1-2 dager, noe jeg kan gjøre ? Kjør gjennom veiledningen og post loggene i en egen tråd som du oppretter ved å klikke 'Nytt emne' Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå