[Løst] Har jeg virus? Eller?

[Ylajali]

Det siste halvåret har jeg opplevd å bli hacket to ganger. Sist var det på Xbox Live hvor brukeren min ble tappet for MSPoints og Xbox Live Subscriptionen endre til Russland (passordet ble ikke byttet tho). Ringte support og saken løste seg (venter forsatt på at ''etterforskings'' teamet dems gjør seg ferdig).

 

Saken er nå at jeg fikk en mail om at noen har forsøkt å recovere emailpassordet mitt (ganske krise, mye viktig på den). Byttet passord og recovery på en annen pc en den jeg vanligvis er på, og kjørte MBAM scan på min egen. Søket viste at det var 17 infiserte objekter på maskinen (se logg), og jeg fjernet alle/sendte dem til karantene.

 

Har søkt litt rundt på nettet etter 'feilkodene', å finner en del forumposter som beskriver det som trojans, keyloggers etc. Det synes jeg er litt rart, i og med at noen prøvde å recovre emailen min, fordi h*n burde egentlig ha passordet fra før av hvis maskinen er infisert?

 

Kjører Norton 360 (oppdaterer daglig) og Windows brannmuren er slått på. Windows er også up to date.

 

Loggen:

 

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Databaseversjon: 8376

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.19170

 

15.12.2011 18:26:11

mbam-log-2011-12-15 (18-26-11).txt

 

Skanntype: Hurtigsøk

Objekter skannet: 224442

Tid tilbakelagt: 4 minutt(er), 27 sekund(er)

 

Minneprosesser infisert: 0

Minnemoduler infisert: 0

Registernøkler infisert: 12

Registerverdier infisert: 2

Registerfiler infisert: 2

Mapper infisert: 0

Filer infisert 1

 

Minneprosesser infisert:

(Ingen skadelige objekter funnet)

 

Minnemoduler infisert:

(Ingen skadelige objekter funnet)

 

Registernøkler infisert:

HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Quarantined and deleted successfully.

 

Registerverdier infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> Quarantined and deleted successfully.

 

Registerfiler infisert:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1&cf=daabc259-2374-11e1-93e8-002215a1e6f3) Good: (http://www.google.com) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://startsear.ch/?aff=1&cf=daabc259-2374-11e1-93e8-002215a1e6f3) Good: (http://www.google.com) -> Quarantined and deleted successfully.

 

Mapper infisert:

(Ingen skadelige objekter funnet)

 

Filer infisert

c:\program files\vshare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Quarantined and deleted successfully.

 

 

 

VShare.tv pluginen er også avinstallert nå via kontrollpanelet. Noe mer jeg kan gjøre? Burde jeg boote i safemode og gjøre et fullt søk? Filene jeg fjernet kan jo finne på å innstalere seg selv på nytt. :/

[fenele]

Kjør full scan med Malwarebytes. Fjern Norton med rem tool. Kjør MSE isteden.

 

CCleaner er også kjekk å ha.

 

Bruk Gmail til Xbox live og andre spill etc. Sett opp 2 way auth da du bruker mobilen(app eller sms) til å logge inn på mailen din. Bruk forskjellig passord på forskjellige tjenester og mail så burde du være pretty safe.

 

Beste løsning for å fjerne crap er å formatere PCen.

[Ylajali]

Kjør full scan med Malwarebytes. Fjern Norton med rem tool. Kjør MSE isteden.

 

CCleaner er også kjekk å ha.

 

Bruk Gmail til Xbox live og andre spill etc. Sett opp 2 way auth da du bruker mobilen(app eller sms) til å logge inn på mailen din. Bruk forskjellig passord på forskjellige tjenester og mail så burde du være pretty safe.

 

Beste løsning for å fjerne crap er å formatere PCen.

Kjører i gang et fullt søk nå. Gmail løsningen har jeg tatt i bruk allerede, men dessverre må jeg vente til xboxsupport er ferdig med å behandle brukeren min før jeg kan endre emailen den er linket til (annen en gmailen atm). Bruker et forskjellig passord til alt nå også.

 

CCleaner scan tar jeg etterpå. Thanks

 

Btw, er det noen som kjenner igjen de infiserte filene som dukker opp i loggen, og kan med sikkerhet si at det er et virus?

Endret 15. desember 2011 av joalim

[fenele]

VShare.tv er et virus. BarLcher.dll er egentlig en legit fil men den som MWB fant var en del av viruset.