Gå til innhold

rart shutdown virus.

cbcb

Av cbcb
i IKT-drift og sikkerhet

Anbefalte innlegg

cbcb

cbcb

Skrevet
Skrevet (endret)

Har fått et virus via irc etter at jeg trykte på en link relatert til cs , men der tok jeg feil. Jeg trykte på linken og det kom opp et ledetekstvindu veldig sjapt og så slo pcen seg av. Slo på pcen igjen og gikk inn på c:\windows\temp , der var det 3 filer kalt lol.snarvei lol.exe og mirc.exe. I egenskapene på snarveien stod det et eller annet %windir% shutdown osv. Slettet mirc clienten min og alle de 3 tempfilene og søkte etter virus med 2 forskjellige virus program og fant ingenting. Men etter at jeg har reboota pcen så kommer det tilbake og jeg kunne ikke åpne en .txt fil uten at pcen restarter. Noen som har peiling på hvordan jeg får fjernet dette ? :dontgetit:

 

edit : skriveleif :p

Endret av cbcb
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Manuel

Manuel

Skrevet
Skrevet

Er nok ikke det jeg har fått, heller ikke blaster. Tror det er bare noen som har "køddet" seg, og har laget en enkel .exe fil som slår av pcen, som også er litt vrien å slette. :wallbash:

Siden dette skjer hver gang du åpner notepad (antar at dette ikke skjer om du åpner txt-filer i starwriter etc.), ville jeg iallfall tatt en kikk i registeret.... Det er det eneste stedet hvor du i Windows kan "skripte" hva som skal skje ved en bestemt handling. Bruk søk-funksjonen i regedit og oppdater antivirusprogrammet!

Lenke til kommentar
cbcb

cbcb

Skrevet
  • Forfatter
Skrevet (endret)

Er nok ikke det jeg har fått, heller ikke blaster. Tror det er bare noen som har "køddet" seg, og har laget en enkel .exe fil som slår av pcen, som også er litt vrien å slette. :wallbash:

Siden dette skjer hver gang du åpner notepad (antar at dette ikke skjer om du åpner txt-filer i starwriter etc.), ville jeg iallfall tatt en kikk i registeret.... Det er det eneste stedet hvor du i Windows kan "skripte" hva som skal skje ved en bestemt handling. Bruk søk-funksjonen i regedit og oppdater antivirusprogrammet!

Hva skal jeg søke etter da ? Har ikke noe særlig erfaring med akkurat dette :dontgetit:

 

Edit : i msconfig på oppstart så fant jeg denne : dumprep 0 -k %systemroot%\system32\dumprep 0 -k . Kan ikke huske at jeg har sett den der før. Her Kan du se tempmappen min...

 

Det er ikke noe vits å slette shutdown.exe i sys32 mappen heller, det hjelper ikke. :hmm:

 

btw: klarer ikke å vente mer på hjelp :nei: så jeg får formatere og forsette med leksene når jeg får opp pcen igjen ;)

Endret av cbcb
Lenke til kommentar
Manuel

Manuel

Skrevet
Skrevet (endret)

Er nok ikke det jeg har fått, heller ikke blaster. Tror det er bare noen som har "køddet" seg, og har laget en enkel .exe fil som slår av pcen, som også er litt vrien å slette. :wallbash:

Siden dette skjer hver gang du åpner notepad (antar at dette ikke skjer om du åpner txt-filer i starwriter etc.), ville jeg iallfall tatt en kikk i registeret.... Det er det eneste stedet hvor du i Windows kan "skripte" hva som skal skje ved en bestemt handling. Bruk søk-funksjonen i regedit og oppdater antivirusprogrammet!

Hva skal jeg søke etter da ? Har ikke noe særlig erfaring med akkurat dette :dontgetit:

 

Edit : i msconfig på oppstart så fant jeg denne : dumprep 0 -k %systemroot%\system32\dumprep 0 -k . Kan ikke huske at jeg har sett den der før. Her Kan du se tempmappen min...

 

Det er ikke noe vits å slette shutdown.exe i sys32 mappen heller, det hjelper ikke. :hmm:

 

btw: klarer ikke å vente mer på hjelp :nei: så jeg får formatere og forsette med leksene når jeg får opp pcen igjen ;)

Det er vanskelig å komme på en løsning når selve problemet ikke er kjent. Har du sjekket hvilke prosessor som kjører i bakgrunnen? Start maskinen i sikkermodus; Får du samme resultat?

 

Hvis du har fjernet alle shutdown.exe filen(e) (som forresten ikke kan anses som en løsning) må "viruset" kjøre seg selv på en annen måte.

 

edit: det kan hende at windows kopierer tilbake shutdown.exe som et "sikkerhetstiltak" (les: idiotsikring) gjennom "system recovery" fordi filen muligens er nødvendig. Men har du sjekket om filen dukker opp igjen etter en omstart? I så fall kan det hende at "viruset" har infisert "system recovery"-katalogen (den er skjult, men skal ligge i roten av c: ), slik at det på en eller annen måte kopierer seg tilbake når du fjerner det.

 

edit2: Søk i registeret etter navnet på de filene du mistenkte var kilden til problemene!

Endret av Manuel
Lenke til kommentar
AsOsiaL

AsOsiaL

Skrevet
Skrevet

Samme problem her oxo :no: Trykka på en vilkårlig link på #clanmatch @ Qnet og så poppa det opp et Dos-vindu slik at datamaskina slo seg av.

 

Kjørte Liveupdate på Norton og scanna gjennom hele maskina uten å finne noe.. har også sletta disse filene i \temp-mappa..

 

Klarer å leve uten å åpne no txt-filer i noen dager, men det hadde vært fint å få det vekk!

 

Håper noen finner løsning på dettan snarest! :blush:

Lenke til kommentar
DieBert

DieBert

Skrevet
Skrevet

Hvis du går i Utforsker og trykker på Verktøy - Mappealternativer...

Der har du et faneark Filtyper. Gå inn der og sjekk hva filtypen TXT er koplet mot - og evnetuelt endre dette tilbake til Notepad hvis det er noe annet - da skal det ihvertfall være mulig å åpne tekst filer normalt igjen.

 

Det kan kanskje også lønne seg å laste ned og kjøre oppdaterte versjoner av noe anti-spy-ware program som The Cleaner, Ad Aware og Spybot (Søk på forumet for linker...)

 

Jeg hadde engang problem med et virus virusprogrammet mitt ikke klarte å fjerne - Ad Aware tok det :thumbup:

Lenke til kommentar
DieBert

DieBert

Skrevet
Skrevet

Kan du legge ut innholdet i c:\autoexec.bat og den bat fila lol.bat (?) som legger seg i temp katalogen?

 

Hvis du søker i forumet på oppstart vil du finne mange tråder som omhandler de plassene i registeret ting som startes automatisk legger seg, sjekk der.

 

Du har selvfølgelig sjekket at ikke det ligger en ny snarvei i Start - Programmer - Oppstart dvs på C:\documents and settings\<brukernavn>\start meny\programmer\oppstart for alle aktuelle brukere (deg selv, default user og all users) ?

Lenke til kommentar
  • 2 uker senere...
Badsmiley

Badsmiley

Skrevet
Skrevet

last ned Hijackthis, kjør en scan med nevnte program, "save log" og kopier hele teksten fra den loggen inn her, så skal vi se hva vi kan gjøre :)

 

Jeg hadde det nevnte virus eller en annen nær slektning på besøk igår kveld.. Fikk kverka det da.. -Iallefall slik at tekstfilene mine lot seg åpne :)

 

Nåh..

 

people.freenet.de som ble spammet over quakenet, hva? =P

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...