Mulig trojaner, vanskelig å fjerne.

[Mikkel83]

Heisann

Jeg har de siste dagene fått flere varsler fra Microsoft Security Essentials om at jeg har fått en trojaner i systemet, ved navn Aluerion, troz, win32, m/flere.... MSE sier så at den renser maskinen og at problemet er "løst". Men siden problemet oppstår igjen senere og jeg har ikke gjort noe for å fremprovosere nye angrep i mellomtiden, regner jeg med at trojaneren duplikerer seg selv hele tiden.

 

Jeg har kjørt både MBAM og SUPERAntispyware, men de finner intet,bortsett fra noen tracking cookies med Superanti.

Deretter prøvde jeg å laste ned AVG for å se om det var MSE som var infisert, men får errors under DL av software og jeg får heller ikke oppdatert MSE's database uten errors.

 

Så er det noen som har noen siste tips for å bli kvitt problemet med MSE?

Jeg har ikke merket noen problemer med PC'n, ikke som sist jeg ble angrepet i hvertfall.

Så enten er jeg angrepet av en meget resilient trojaner eller så har MSE fått seg en krøll i systemet og ikke fungerer korrekt.

 

All hjelp mottas med takk

[Mikkel83]

Legger ved siste MBAM logg og en DDS logg, om noen blir klokere av det. Jeg får fortsatt varsel fra MSE om trojanere og annet, til og med mens MBAM kjører scan, men den plukker ikke opp noe.

DDS.txt

mbam-log-2010-08-13 (07-04-24).txt

[Mikkel83]

Bumper denne posten litt, siden ingen svarer. Har nå mer eller mindre konstante problemer med en Generic18 trojaner, som dukker opp i flere programmer. Har byttet tilbake til AVG, da MSE ikke klarte å oppdatere seg selv. AVG finner generic18 flere ganger, men flytter filene bare til vaultet. MBAM finner fortsatt ikke en puck, så all hjelp mottas med takk.

[norbat]

Kjør combofix (se veiledningen)

[Mikkel83]

Ah, beklager. Har 64-bits på laptop, men 32-bits på desktop, så ble litt surr. Kjørt ComboFix nå, legger ved logg.

ComboFix.txt

[norbat]

Beklager treig respons.

 

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

 

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

renv::

c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe

c:\program files\AVG\AVG9\avgtray .exe

c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe

c:\program files\iTunes\iTunesHelper .exe

c:\program files\Logitech\GamePanel Software\LgDevAgt .exe

c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore .exe

c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon .exe

c:\program files\Microsoft LifeChat\LifeChat .exe

c:\program files\QuickTime\QTTask .exe

c:\program files\Windows Live\Device Manager\msgrdvmn .exe

 

DDS::

uInternet Settings,ProxyServer = http=127.0.0.1:5555

 

mia::

c:\windows\System32\drivers\ndis.sys

Endret 28. august 2010 av norbat

[Mikkel83]

Ny logg, nye muligheter

ComboFix.txt

[norbat]

Åpne notisblokk, kopier det som står i fet skrift under, velg 'Lagre som', sørg for at filtype er Alle typer, lagre fila på skrivebordet som ndis.bat. Dobbeltklikk på fila og kopier resultatet som kommer opp i notisblokk.

 

For /F "TOKENS=*" %%g IN ('dir /s/a-d/b %windir%\ndis.sys'

) Do @echo "%%~g" %%~zg %%~tg >>report.txt 2>nul

start notepad report.txt & exit

[Mikkel83]

Dette kom opp i notisblokk:

 

"C:\Windows\System32\drivers\ndis.sys" 710720 14.07.2009 03:20

[norbat]

Ting tyder på at fila C:\Windows\System32\drivers\ndis.sys er infisert og fordi den ikke finnes andre plasser på pc'n må den hentes fra en annen pc eller fra en installasjons-cd/dvd. Har du tilgang til dette?

[Mikkel83]

Har en Acer upgrade DVD til 32-biters windows liggende, er vel til laptop, men regner med at fila skal eksistere på den disken og.

[Mikkel83]

Så skal jeg lokalisere den fila og bare klipp, lim, erstatt? Åpna nettopp den disken, men aner ikke hvor fila ligger hen der inne, skal lete litt, men tar nok et par trykk med musa....