Gå til innhold

Virus-installasjon som køyrer autom. ved oppstart


Anbefalte innlegg

Installerte a-squared Free 4.5 i går og søkte etter virus på min 1 år gamle stasjonære pc m. WinXP sp3. Fekk fleire treff som Avira AntiVir ikkje hadde funnet tidlegare. Sletta div program og mapper og restarta pc'n. Då opplevde eg at eit installasjons-program starta automatisk - før alle oppstartsprogram hadde starta som ordinært. Og det har fortsatt til no. Klarer å stoppe det men blir ikkje kvitt meldinga om installasjon som startar opp utan at eg deaktiverer msi-prosesser (sjå nedanfor). Å unngå at det køyrer klarte eg umiddelbart gjennom å kople frå harddisken kor eg har plassert ALT av nedlasta program + + frå nettet.

 

Trudde fyst det var eit nytt program som var i komen med i autom. oppstart men det var det ikkje. Gjekk derifrå vidare til å velge "Selektiv Oppstart" i Systemkonfiguarasjon (Win+R og limte inn /køyrde;msconfig). Fyst starta eg med kun den opprinnelege Boot.ini. Ingen problem. Tilsvarande med Win.ini, systemtjenester og sys.ini. Opna også desse filene og las igjennom innhaldet. Klarte ikkje å sjå noko suspekt.

 

Fyst då eg enda opp på "Normal Oppstart" med >Alle Tjenester dukka installasjons-programmet opp att. Ved hjelp av Ctrl+Alt+Delete (Windows Oppgavebehadling) forsøkte eg å finne ut kva program det var men dengong ei. Ingen merkelege navn på Program eller Prosesser. Ikkje før eg høgreklikka explorer.exe og avslutta den prosessen forsvant meldinga (som i mellomtida hadde frosset fordi eg hadde kobla ifrå den eksterne harddisken eg hadde nedlastingsmappa og programmet installasjons-meldinga var kobla til). Straks eg i Oppgavebehandling gjekk til >Fil, >Ny oppgave og køyrde explorer.exe so dukka installasjons-meldinga umiddelbart opp igjen. So her er det tydelegvis ein msi-prosess som er kopla til sjølve Explorer.

 

Neste trinn var Hijackthis.exe Scanna og limte log'en inn på www.hijackthis.de. Log'en som tekstfil er vedlagt her:HijackThisLog.txt Slik eg tolker det ser alt ok ut.

 

Services/tjenester var det som stod att. Med Starter fekk eg ei liste med service'er som køyrer ved oppstart. Gjennom å køyre (Win+R) services.msc og velge dei av kategorien "Automatisk Oppstart" fekk eg opp 17 tjenester. Las meg igjennom dei og festa meg ved den som heitte Windows Installer. "Legger til, endrer og fjerner programmer som leveres som en Windows Installer Pakke (*.msi). Hvis denne tjenesten er deaktivert vil ingen tjenester som er avhengig av den starte". Ganske riktig, då eg fjerna den frå automatisk oppstart (gjennom å høgreklikke, velge >Egenskaper og >Deaktivert) so vart eg endeleg kvitt den irriterande installasjons-meldinga ved neste restart. (Eigenskapen til denne tenesten er "C:\WINDOWS\system32\msiexec.exe /V"

 

Her er det tydelegvis ein installasjons-prosess (msi) som starter automatisk ved oppstart. Eg unngår den gjennom å deaktivere windows installer. Dessverre er det ikkje noko endeleg løysing. Msi-program har eg rett som det er behov for å køyre. Eg forsøkte også å restarte etter å ha brukt Starter til å fjerne auto-oppstart av alle program (unntatt COMODO Firewall). T.o.m. då starta installasjons-prosessen.

 

Nokon som har forslag til korleis eg skal ringe inn prosessen som starter opp og få den fjerna. Og no tenker eg ikkje på å få foreslått antivirus-program. Heller nokon som har god kjennskap til kor eg skal gå i registert, kva program eg skal bruke for å avdekke korleis denne prosessen har integrert seg med explorer.exe. (Tek med på tampen at eg allereie har brukt to program til å rense opp i registeret. Og at hverken Malvarebytes, a-squared Free, Avira, eller SuperAntiSpyware finn noko mistenkeleg).

Endret av Dabola
Lenke til kommentar
Videoannonse
Annonse

Ber deg sjekke hva du har som ligger på følgende nøkler i registeret ditt.

32-/64-biters Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Bare 64-biters Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

Lenke til kommentar

Takk for svaret!

Gløymde å ta med at det er WinXP Prof, 32bits, sp3 eg har.

 

Under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\.. finner eg 6 Run-mapper:

\Run

\Run-

\Run (Disabled by Starter)

\RunOnce (Disabled by Starter)

\RunOnceEx

 

Den fyste har sub-mapper;

\Run\OptionalComponents med 3 under-mapper:

\Run\OptionalComponents\IMAIL

\Run\OptionalComponents\MAPI

\Run\OptionalComponents\MSFS

 

Klarer ikkje å sjå noko alarmerande i nokon av desse nøklane. Her er ein tekst-versjon kor eg har eksportert kvar av desse mappene og samla dei i ei tekst-fil:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"COMODO Internet Security"="\"C:\\Programfiler\\Comodo\\COMODO Internet Security\\cfp.exe\" -h"

"MSConfig"="C:\\WINDOWS\\ServicePackFiles\\i386\\msconfig.exe /auto"

"StartCCC"="\"C:\\Programfiler\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe\" MSRun"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

@=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Disabled by Starter)]

"ISUSPM Startup"="C:\\PROGRA~1\\FELLES~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"

"GBTUpd"="C:\\Programfiler\\GIGABYTE\\GBTUpd\\PreRun.exe"

"ISUSScheduler"="\"C:\\Programfiler\\Fellesfiler\\InstallShield\\UpdateService\\issch.exe\" -start"

"SunJavaUpdateSched"="\"C:\\Programfiler\\Java\\jre6\\bin\\jusched.exe\""

"UserFaultCheck"="%systemroot%\\system32\\dumprep 0 -u"

"Device Detector"="DevDetect.exe -autorun"

"PWRISOVM.EXE"="C:\\Programfiler\\PowerISO\\PWRISOVM.EXE"

"WinPatrol"="C:\\Programfiler\\WinPatrol\\winpatrol.exe -expressboot"

"EasyTuneV"="C:\\Programfiler\\Gigabyte\\ET5\\ETcall.exe"

"itype"="\"C:\\Programfiler\\Microsoft IntelliType Pro\\itype.exe\""

"Adobe ARM"="\"C:\\Programfiler\\Fellesfiler\\Adobe\\ARM\\1.0\\AdobeARM.exe\""

"Adobe Reader Speed Launcher"="\"C:\\Programfiler\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe\""

"AdobeCS4ServiceManager"="\"C:\\Programfiler\\Fellesfiler\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe\" -launchedbylogin"

"avgnt"="\"C:\\Programfiler\\Avira\\AntiVir Desktop\\avgnt.exe\" /min"

"RTHDCPL"="RTHDCPL.EXE"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (Disabled by Starter)]

"Malwarebytes' Anti-Malware"="C:\\Programfiler\\Malwarebytes2\\mbamgui.exe /install /silent"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

 

 

****************

Det einaste må vera "..mbamgui.exe /install /silent" men den må ha blitt generert i ettermiddag. For å sikre meg at Malvarebytes var ein "rein" versjon gjekk eg til MajorGeeksog lasta ned ein ny versjon, avinstallerte den gamle og install. denne i ettermiddag. Kor eg då definerte mappa Programfiler\\Malwarebytes2\ (med eit 2-tal til slutt).

 

I Starter.exe har eg under "All Sections" fylgjande program som er med i oppstart:

C:\Programfiler\Comodo\COMODO Internet Security\cfp.exe (COMODO Brannmur)

C:\Programfiler\BitMeter\BitMeter2.exe (Bitmeter har eg brukt i årevis)

C:\WINDOWS\system32\ctfmon.exe (vore med alltid)

C:\Programfiler\FastStone Capture\FSCapture.exe (printscreen for å fange kva program som starter opp/køyrer - sikkert)

C:\WINDOWS\ServicePackFiles\i386\msconfig.exe (litt usikker på om dette er måten å starte msconfig på, men eg kan sjå at programmet ikkje har blitt endra sidan i fjor haust. Restarta med dette fjerna men det hjalp ikkje)

C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Skjermdriver-program eg har brukt lenge)

C:\Programfiler\Stickies\stickies.exe (notat-program eg har brukt lenge)

 

Klarer ikkje å sjå dei store forskjellane med det eg finn i registeret.

 

Enig?

 

Her er ein pdf-versjon med printscreen av Starter.exe og registeret;

Register.pdf

Endret av Dabola
Lenke til kommentar

Den eg legge merke til er denne

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\\WINDOWS\\ServicePackFiles\\i386\ \msconfig.exe /auto"

 

Vet ikke jeg om det er normalt å kjøre en reparasjon av Windows oppdateringer ved hver oppstart. Noe som er tydelig att denne gjør. Vet ikke jeg om du har noen problemer med virus osv lengre, men du kan med sikkerhet fjerne denne. Hadde dene vært under RunOnce så hadde det vært mer forståelig, men den ligger under Run så denne vil kjøre uendelig antall omstarter. :)

Lenke til kommentar

Hei igjen!

 

Som Malvarebytes fjerna eg også a-squared Free 4.5 . Syntes den siste oppførte seg rart. Ein ting den fann var ei exe-fil inne i Malvarebytes sin folder i C:\Documents and Settings\Mitt Navn\Lokale innstillinger\Programdata\...

Har difor ingen logg å vise til.

 

Skal fjerne "MSConfig"="C:\\WINDOWS\\ServicePackFiles\\i386\

\msconfig.exe /auto" og sjå om det lager noko endring. Enig i at ServicePackFiles ikkje skal køyre ved kvar oppstart. Når Sp2 og Sp3 blir vel fullstendig integrert i Win når dei bli installert.

 

No tek eg kveld.

 

Takk for råda! Fylgjer opp med meir info i morgon!

Lenke til kommentar

Viruset er av den alvorlege typen. Kva i all verda skal eg gjera?

 

Rådet frå brgr om å fjerne "MSConfig"="C:\\WINDOWS\\ServicePackFiles\\i386\

\msconfig.exe /auto" hjalp dessverre ikkje.

 

Via programmet ERUNT tek eg kopi av registeret og sys.filer kvar morgon "Via Planlagte Oppgaver". Det har redda meg tidlegare. I dag reinstallerte eg reg.+systemfiler slik dei var måndag kl 09:30 - då kopien vart teken. Restarta og opplevde at installasjonen framleis prøver å køyre ved oppstart. Men den finn ikkje fila som er på ein disk eg har kopla frå. Men no stopper prosessen slik at eg med oppgåvebehandlar kan sjå at det er programmet SPSS Statistics 17.0 som køyrer. Høgrekl. eg det og går til prosesser er det explorer.exe som vert utheva i prosess-lista. For meg tyder det på at installasjonsprosessen ikkje er eit separat program som er med i oppstarts-lista men ein prosess djupt integrert i Windows' oppstart. Det heile skuldast at eg i studie-samanheng i fjor haust lasta ned og installerte ein versjon av statistikk-programmet SPSS som eg henta via ein torrent.

 

No er det ein prosess som heile tida leiter etter den unzippa mappa med dei nedlasta filene. Via programmet WinPatol FreeWinPatol Free fekk eg opp ei liste over ActiveX Controller og IE Helpers som er installert. Deaktiverte ei rekke av desse og restarta men dessverre so byrja installasjonen av SPSS framleis.

 

I søken etter meir info om kva prosesser som ligg bak starta eg Process Explorer. Gjennom snarvegane Ctrl+L og Ctrl+H og so høgreklikke msiexec.exe (som det i process-lista er 3 versjonar av) får eg opp ei lang liste med interessant info om kva som er bak denne installasjons-prosessen.

 

Sjå den vedlagte pdf-fila med masse printscreen frå Process Explorer. Skum igjennom den og gje meg gjerne råd om det er ein god ide å byrja med å fjerne dei msi-filane som det her er kobling til - og som er lokalisert i mappa C:\WINDOWS\Installer. Alle msi-filane der sidan 9. mars kunne eg flytte over på ein USB-pinne. So restarte og sjå om det lager noko endring.

 

Nokon som har andre forslag på framgangsmåte for å bli kvitt viruset?

 

Med relativt mange program installert etter mykje bruk av denne pc'n det siste 3/4 året har eg lite lyst til å installere Windows på nytt, men det forutset at eg blir kvitt dette viruset. Tek difor godt i mot alle forslag til korleis eg skal gå fram.

ProcessExplorerPrintscreen.pdf

Endret av Dabola
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...