Fake Antivirus Trojan

[Colamann]

Hei.

Jeg ble i dag plutselig avbrutt av et fake antivirus program som avsluttet alle prosessene mine og begynte å "scanne". Jeg dro med en gang ut nettverkskabelen og slo av strømmen på pc'en.

 

I rekkefølge:

 

Startet jeg maskinen på nytt i safe mode og kjørte Malwarebytes Anti-Malware quick scan og fjernet det som ble funnet.

Log: mbam1.txt

 

Så restartet jeg maskinen i vanlig modus og kjørte MBAM full scan og fjernet det nye som ble funnet.

Log: mbam2.txt

 

Så restartet jeg enda en gang og kjørte MBAM quick scan. Ingenting ble funnet, men jeg la merke til en prosess i task manager "iExplore.exe" som bare restartet hver gang jeg avsluttet den, så kom jeg hit og lastet ned ComboFix og kjørte det.

Log: ComboFix1.txt

 

Og til slutt HijackThis.

Log: hijackthis1.txt

 

Alt ser ut til å være i orden nå, men jeg er så super paranoid når det kommer til sånn som dette. Så jeg setter veldig pris på om noen som har peiling kan se gjennom disse loggene for å se om det fortsatt er noe der som ikke hører hjemme.

 

P.S. Det som ligger i quarantine:

 

P.P.S. Dette kommer nå hver gang jeg starter maskinen:

Endret 7. oktober 2012 av Colamann

[Svenni212000]

Jeg er så super paranoid når det kommer til sånn sier du. Noe som er svært motstridig når loggene du har lagt ved tyder på at du ikke har antivirusprogram installert. Du har Windows Defender aktivert, men denne sies å være utdatert. Noe som tyder på at du ikke har kjørt Windows Update på en stund, og motstrider også med at du er paranoid når det gjelder virus og spionprogrammer på din PC. Ting tyder på at du har fått den falske versjonen av Microsoft sitt antivirusprogram, hva med å laste ned og installere den ekte Microsoft Security Essentials? Andre Alternativer til lovlig og gratis antivirusprogrammer:| avast! | AVG | Avira AntiVir | COMODO Antivirus/COMODO Internet Security | Panda Cloud | ZoneAlarm Free Antivirus + Firewall

 

Det falske antivirusprogrammet ser ut til å være fjernet. Det kan dog være en fordel å kjøre CCleaner og gjerne med CCEnhancer og til slutt gjerne også søke gjennom med SystemNinja

 

Når det gjelder meldingen du får ved oppstart, kan det tyde på at oppstartsmappen til FakeMS ikke har blitt slettet. Inne på CCleaner programmet trykker du på Verktøy knappen, velger Oppstart, og Disable eller Delete oppføringer som er relatert til FakeMS programmet. Du kan også velge Vis skjulte filer og mapper og slette filer og mapper relatert til FakeMS fra AppData mappen.

[Colamann]

Det jeg mente var at jeg er super paranoid for at noe skal være igjen på pc'en nå. Ikke for å få virus i seg selv(var i hvert fall ikke det). En venn sa at jeg ikke trengte å bekymre meg for virus/virus program så lenge jeg ikke gikk inn på ukjente linker etc. Og at firewall i routeren sammen med Malwarebytes var bra nok for meg. Etter sist gang jeg fikk virus begynte jeg å være blod forsiktig med ting jeg gikk inn på, så skjønner ikke helt hvor jeg har fått dette viruset fra..

 

Jeg trodde at Windows Update oppdaterte seg selv, føler at jeg må restarte hele tiden pga windows update.

Jeg tror jeg har fikset det meste nå. Har installert og kjørt: Microsoft Security Essentials, avast!, AVG. CCleaner med CCEnchancer og SystemNinja. Og RunDLL feilmeldingen gikk vekk av seg selv.

 

Takk for rask info og hjelp.

Endret 8. oktober 2012 av Colamann

[Dr.Geek]

Hai,

 

du har Rootkit Siref (ZeroAccess) på PCen din!:

http://nakedsecurity.sophos.com/2012/09/19/zeroaccess-botnet-uncovered/

 

Her sitter noe igjen:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]

"ImagePath"="\??\c:\windows\SysWOW64\Drivers\X6va008"

 

Vanlige Antivirus vil ikke løse problemet. Kjør disse Anti-Rootkit Scannere og fjern alle funn. Post loggen:

http://support.kaspersky.com/faq/?qid=208283363

http://www.surfright.nl/en

 

Du burde endre alle dine passord fra en annen clean maskin og informere banken din, hvis du har gjort online banking på den infiserte maskinen.

[Colamann]

Hallo.

 

Jeg lasted ned og kjørte de programmene.

Her er loggene:

HitmanPro1.txt

ComboFix 2.txt

 

Tror jeg har enda et problem. Når jeg prøver å kjøre windows update, så kommer dette:

[Dr.Geek]

Du posta et log fra combofix. Det jeg ville var at du kjørte TDSS Killer:

http://support.kaspe.../?qid=208283363

 

Malware gjør system endringer og deaktiverer mange sikkerhetsfunksjoner i systemet - deriblant Windows Update. Min anbefaling er at du bruker System Restore og setter systemet tilbake til utleveringstilstand. Sjekk PC Håndboken din for System-Restore. Dette er den forteste og beste løsningen for å bli kvitt Malware problemer og ha en sikker og trygg PC igjen.

Dine filer må du lagre på USB Medier før du bruker system Restore.

Endret 8. oktober 2012 av TheGenius

[Gyr0]

Jeg fikk også et fake antivirusprogram som begynte å scanne helt uten videre for ca en måned siden. Jeg er ikke sikker på hvordan den kom seg inn, men jeg tror det kan ha vært gjennom noe som lignet på en adobeoppdatering. Men, jeg tror mye rart.

 

Jeg fikk hvertfall kommet meg inn i sikkerhetsmodus og manuelt slettet mappen der svineriet lå. Virusscan med Malware tok jeg etterpå. Har ikke merket noe siden.

 

Får også feilmelding når jeg starter maskinen. Får beskjed om at apiey.dll mangler.

 

EDIT: Fyi, viruset jeg hadde het "Live security platinum"

Endret 8. oktober 2012 av Gyr0

[Colamann]

Aha. Jeg trodde ikke det gikk an å få logg fra TDSS, men fant ut av det nå.

Her er loggen:

TDSSlog1.txt

Endret 8. oktober 2012 av Colamann