Virus på Jobb PC QFIND

[manna420]

Hei.

 

Har fått en veldig rar virus på jobb PC`en som ser ut til å være utrolig vanskelig å fjerne. Aller først skriver jeg kort og greit hvordan den fungerer:

 

 

Er du plugget i på nettverket på jobben, så merker du rett og slett ikke at det er noe galt med PC`en.

 

Er du plugget til et nett utenfor jobben (hvilket som helst) og f.eks går på startsiden på PC`en din som av policy er Intranett, så vil den selfølgelig ikke klare å nå den, da intranettet er kun tilgjengelig i jobb nettet. Men siden den ikke når den så skal det dukke opp en melding på at siden ikke finnes. Isteden så redirecter den til noe som heter Qfind sin side, med diverse lenker til forskjellige sider osv.

 

Har prøvd å finne på nettet om det, men det er ikke så masse informasjon på nette om det. Jeg har til og med prøvd å fjerne den med MalwareByte og Combofix, men det hjalp heller ikke. Faktisk så ble PC`en mer ustabil etter det.

 

Fint om noen av dere har vært borti denne før og kan bidra her. Takk.

[Faller]

Det er ikke noe så enkelt som at det er en toolbar eller noe sånt da? I stedet for at man ender opp på Bing eller lignende. Sjekk om det er det siden de nevnte programmer ikke finner noe tenker jeg.

 

 

Mvh Faller

[Mr D]

Dette er kanskje nyttig: http://blog.teesuppo...y-step-by-step/

[manna420]

Hei

 

@Faller: Jeg er ganske sikker på at det ikke er snakk om toolbar her

 

@Mr D: Jeg har allerede sett på siden du refererer til, men har ikke fått prøvd den enda. Jeg prøver ut den og gir en tilbakemelding på om det fungerte eller ikke.

[xcomiii]

Åpne host filen (C:\Windows\System32\drivers\etc) i Notepad, og se hva den sier da?

 

Står litt her: http://www.zimbio.com/Latest+Computer+Threats/articles/myho6CCAI_Z/How+Remove+Qfind+net+Hijacker+Virus+Manually

 

Editere registeret er også en måte å fjerne det på, ligger som regel her: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[manna420]

@Mr D:

 

 

Hei

 

Har testet den nå, og det fungerer ikke da brukerveiledningen ikke er komplett. Ser ut som de har glemt hvilket prossesser som må avsluttes osv, også nevner den at support må kontaktes dersom ytterligere hjelp trengs. Så tror ikke løsningen ligger der.

Endret 15. oktober 2012 av manna420

[manna420]

@xcomiii

 

 

Jeg har startet PC`en i sikkerhetsmodus med nettverk, og sett på følgende:

 

1. åpnet oppgavebehandlingen og sett på prosesser som kjøres, fant ingenting som ifølge meg så ut som virus. Vedlagt ligger skjermbilde av oppgavebehandlingen.

 

2. sjekket prosesser i msconfig, under fanen oppstart, ingenting der heller som i følge meg ser ut som virus. vedlagt bilder

 

3. gått inn på regedit og fant ikke noe der heller som så ut som virus. sjekk vedlagt bilde

 

4. sjekket host filen, fant heller ikke noe der som jeg mener skal være virus. vedlagt ligger bilde av den også.

 

 

Har lagt inn bilder på alle de 4 tingene jeg har sjekket og trenger en bekreftelse på om jeg har oversett noe.

[xcomiii]

Hvilken browser bruker du? Gjelder det alle browsere?

[manna420]

hmm, det har jeg faktisk ikke tenkt på. Vi bruker primært Internet Eksplorer 8 og oppover. Skal teste den med en annen browser og poste resultatet.

[Faller]

Har du prøvd å kjøre RKill for å se om det er noen skjulte prosesser som kjører?

Har du sjekket proxy- eller DNSinnstillinger?

 

 

Mvh Faller

[manna420]

@Xcomii: problemet/viruset er der også med andre weblesere. Så det er ikke noe spesifikt til internett explorer.

 

 

@Faller: En annen ansatt ved firmaet har allerede prøvd RKill på en av infiserte PC`ene, og han fikk følgende rapport/logg fra Rkill. Se velagte filer.

 

Når det gjelder proxy og DNS, så bruker vi en proxy server, og de innstillingene er riktig. DNS er satt på automatisk som normalt.

Rkill.txt

RKreport-1-.txt

[xcomiii]

OK, så da er det ikke på browser nivå.

 

Da tenker jeg at det ligger på DNS siden, siden alle forespørsler som ikke har en IP (not found) havner på en reklameside. Kan du kjøre nslookup på en maskin på utsiden for å se hva den gir deg?

 

Prøv også å bytte ut Sophos med f.eks Microsoft Antivirus. Jeg går utfra at maskinen er full oppdatert fra Windows Update, inkl tilleggs oppdateringer ?

[manna420]

Jeg kommer med en tilbakemelding til deg på mandag. Gir deg resultater da. Beklager sen respons, har vært veldig opptatt.

[manna420]

Hei folkens. Det er i orden nå. Vi har begrenset med rettigheter inne på nettverket vårt i og med at vi blir stort sett styrt av hovedkontoret våres i utlandet. Ser ut som de har nå ordnet det. Det hadde mest sannsynlig noe med DNS å gjøre. Takker for hjelpen for det.