Trenger hjelp til å fjerne virus/spyware

[neivoll]

Jeg har fått et plagsomt virus(eller spyware/begge deler) som gjør at jeg hele tiden får beskjeder fra et navnløst program på oppgavelinjen om at jeg har fått dataen infisert av Spyware, pluss at bakgrunnen min er endret til helt bått med en beskjed om at jeg har spyware, og at Windows anbefaler meg å få et anti-spware program. Bakgrunnen kan ikke endres på, og det er ingenting som skjer hvis jeg trykker på advarslene om spyware(men husker at jeg så en plass det sto noe om speedbit). Noen som vet hvilket virus/spyware jeg har fått som lager dette problemet, og hvordan jeg kan få fjernet det?

 

PS: Jeg har Norman Virus Control installert, da jeg søkte på harddiskene ble jeg kvitt advarslene som popper opp fra oppgavelinjen, men de var tilbake ved neste oppstart. Har også Spybot Search & Destroy, det fant noe spyware (bl. a. et som het Windows.Activedesktop), som jeg ikke får kvittet meg med fordi programmet klikker når det skal fjerne problemene.

 

edit: Fikk fjernet et spyware som het Smitfraud-c, og da forsvant meldingene fra oppgavelinjen igjen, og da jeg restartet var bakgrunnen tilbake til den gamle. Eneste problemet nå er at jeg nå ikke kan endre bakgrunn!

Endret 24. januar 2006 av anners

[Mr.Locke]

Norton er programmet som først slapp inn Spyaxe/Spywarestrike (Spy** / mssearch.* / nvctrl.* / sa1.exe ) som er viruset du har.

 

Viruset/spywaren legger seg inn som en skjult DLL service i registeret i Windows, og er derfor nærmest umulig å slette på vanlig vis. Ingen Norton-applikasjoner (NIS, NAV, NCS) vil klare å ta denne spywaren.

 

Den legger seg opgså inn som en Browser Helper Object og kopierer seg selv random til forskjellige filer, samt legger et ikon nede ved klokken som tilbyr deg å kjøpe et antivirus-program for 50 USD.

 

Hensikten med denne spywaren er å "blackmaile" folk til å kjøpe et annet nytt elendig antivirus-program som ikke fjerner problemet.

 

For å bli fullstendig kvitt det må du inn manuelt i registeret å fjerne ting, samt fjerne filer via DOS/CMD-konsollvinduet. Dvs. du må starte opp windows med sikkerhetsmodus og kun konsollvinduet/MSDOS-vindu. Starter du i vanlig sikkerhetsmodus laster windows explorer.exe, som igjen laster DLL'en til spywaren.

 

Med andre ord:

 

1: Last ned Spybot S&D

2: Last ned regworkshop.exe

3: Last ned killbox.exe

 

4: Rename wininet.dll til wininet.old, denne filen er ikke er virus, men en del av windows, men viruset trenger den for å kjøres. Fordi du renamer denne vil du få mange feilbeskjeder, bare lukk dem hver gang du får den, denne skal renames tilbake senere (kommer til det senere.)

 

5: Start windows(XP) I sikkerhetsmodus med bare kommandolinjen

6: Trykk CTRL+ALT+DEL når kommandolinjen kommer opp, velg så "Ny oppgave.." og kjør regworkshop der du installerte det.

 

søk etter disse verdiene og slett dem:

nvctrl.dll

nvctrl.exe

file0*.* (f.eks file01.exe og file02.exe)

mssearch.exe

mssearch.dll

sa1.exe

netwrap.dll

spy*.* (dvs søk på "spy"), her vil du antageligvis finne referanser til en exe fil, f.eks spyaxe.exe eller spybuster.exe , spysherrif.exe osv, fjern disse.

 

7: Gå så i kommandolinjevinduet, eller hvis du har lukker det, velg "Ny oppgave.." igjen og skriv cmd.exe.

 

8: Gå i c:\xpkatalognavn (f.eks "windows")\prefetch. Slett ALLE filer i prefetch katalogen, gjør en dir *.* /aH <- for å være sikker på at det ikke ligger noen skjulte filer

 

9: Gå i c:\xpkatalognavn\ <- og skriv:

attrib -s -h -r mssearch.exe

attrib -s -h -r sa1.exe

attrib -s -h -r file01.exe

attrib -s -h -r file02.dll

attrib -s -h -r spy*.*

attrib -s -h -r netwrap.dll

 

dir så i katalogen for å se om filene eksisterer:

dir mssearch*.*

dir file0*.*

dir spy*.*

dir sa1*.*

dir nvct*.*

dir netwrap*.*

 

hvis noen av dem er der, slett med f.eks del navn-på-fil-du-fant, f.eks del mssearch.exe

 

10: repeter HELE prossessen i punkt 9 for mappen C:\windowskatalog\system32 og C:\windowskatalog\system

 

11: sjekk så i C:\programfiler\*.* at det ikke ligger en mappe der som heter spy*.* ett eller annet. f.eks Spyaxe eller Spywarestrike, det gjør du med dir *. /aH, finnes den, gå inn i den, slett alle filer i mappen, og alle underkataloger med kommandoen rd mappenavn.

 

12: Når du har gjort alt dette manuelt med filene og registeret, ved hjelp av KUN cmd.exe og regworkshop (aldri under noen omstendigheter start explorer.exe / windows utforsker), så går du igjen i oppgavebehandling med CTRL+ALT+DEL, velger "Ny oppgave.." og finner frem til Spybot S&D. Denne gangen kjør en scan om den finner noe. Finner den noe, la den slette det.

 

13: Gå i setup/config/utilities i Spybot S&D, velg alle utilities med hake der, og gå tilbake til tools eller sidemenyen, se på BHO og webpages, pass på at ingen søkesider henviser til merkelige URL-adresser, er du usikker sett alle til f.eks altavista.com eller google.com eller noe, sjekk at det ikke er noen BHO som er mistenkelige der. Gjør det samme i processes og startup, dvs se igjennom at Spybot S&D ikke viser noen mistenkelige filer som startes med windows.

 

14: Når alt dette er gjort, kan du som en ekstra sikkerhet igjen velge "NY oppgave.." Velge killbox.exe som du har lastet ned, og lime inn banen/navnet på alle tidligere filer nevnt, og velge "Delete on reboot".

 

15: Start maskinen på nytt, hvis viruset / spywaren er borte nå, kan du rename wininet.old til wininet.dll igjen for å unngå å få utallige feilbeskjeder hvert 3-4 sekund i windows når windows prøver å starte ting som explorer.exe osv. Rename den filen tilbake til wininet.dll der du forandret den sist og start systemet en siste gang.

 

16: Nå skal det være helt fjernet, hvis det er det, kjør Spybot S&D en gang til for sikkerhets skyld, gjør en ny scan, nå skal Spybot S&D ikke finne noe som helst. Velg også å legge til hele ban-listen til Spybot S&D inn i hosts listen og velg at Spybot S&D kjører Iexplorer beskyttelsen. den andre systembeskyttelsen (teatimer) kan du droppe, ettersom den ikke skjønner forskjellen på legitim editering av registeret for å fjerne virus og faktiske virus som forandrer viruset.

 

Etter at maskinen din er rensket, burde du hente deg ned en hostsfil med 10-15.000 bannede sites som gjør surfing litt sikrere. Du burde finne deg andre programmer en Norton, ettersom Norton er bare falsk trygghet og skaper somregel mere bugs i windows enn problemer det faktisk løser.

 

De beste antivirus-programmene er gratis, laget av nerder som er ute etter annerkjennelse istedet for penger. Norton er ute etter kun penger, og hadde Norton virkelig virket, med tanke på at 90% av verdens maskiner har Norton installert, så ville ikke 90% av verdens maskiner vært infisert med spyware, det sier seg selv da at Norton ikke virker serlig effektivt.

 

Sett på en brannmur eller skaff deg det, slutt å åpne vedlegg i mail (doc, vbs,wmf,exe,com,bat, ppt filer), og sett på sikkerheten for popups og sertifikater i internet explorer på fullt og lær deg heller å bruke CTRL-tasten når du absolutt vil gi en link tilgang midlertidig når du trykker på noe i internet explorer som krever scripting/popups, dvs. hvis du er sikker på at du er på et anerkjent kjent nettsted som er trygt. Ingen andre nettsteder har for vane å kreve scripting/popups for linker med mindre det er muligens nettbanken din eller favorittforumet ditt, alt annet er suspekt/mistenkelig - dvs. kun steder som krever login/informasjon/registrering har grunnlag for å kreve scripting av noe slag.

 

Lykke til

Endret 24. januar 2006 av Mr.Locke

[neivoll]

Wow, takk skal du ha. Men er det nødvendig å gjøre alt dette ettersom jeg har blitt kvitt alle synlige problemer bortsett fra at det ikke går an å bytte bakgrunn? (se edit i første posten min)

 

edit: Og så er det Norman jeg har, ikke Norton.

Endret 24. januar 2006 av anners

[Mr.Locke]

Wow, takk skal du ha. Men er det nødvendig å gjøre alt dette ettersom jeg har blitt kvitt alle synlige problemer bortsett fra at det ikke går an å bytte bakgrunn? (se edit i første posten min)

 

edit: Og så er det Norman jeg har, ikke Norton.

5489427[/snapback]

 

 

Hvordan skifter du bakgrunn? Manuellt med høyreklikk på skrivebordet -> egenskaper -> skrivebord -> bla gjennom.. ?

 

 

Uansett, jeg ville gått gjennom den prossessen for sikkerhets skyld hvis jeg var deg.

 

Norman er ikke stort bedre enn Norton det heller, tro det eller ei, men stort sett all kommersiell antivirus er like effektivt som en enbeinet mann i en sparkekonkurranse. (Jeg kunne skrevet en 3 timer lang post på nøyaktig hvorfor men orker desverre ikke det nå.)

 

Ang. bakgrunnsbildet, muligens du må forandre det i registeret hvis den har sneket det inn på brukeren .DEFAULT, da vil det bildet dukke opp de 5 første sekundene uansett før din brukers profil blir aktiv ved hver oppstart.

 

se i registerer med regworkshop, under HKEY_USERS\.DEFAULT\Control Panel\Desktop - sjekk der på: "Wallpaper" eller "OriginalWallPaper" eller "ConvertedWallPaper"

Endret 24. januar 2006 av Mr.Locke

[torgeilo]

Jeg har også vært ute for samme problem:

 

Jeg brukte en kombinasjon av Norton og housecall.trend.com til å fjerne viruset.

 

Jeg måtte også inn i regisrty.. Husker ikke hvilke verdier jeg måtte fjerne..

 

I windows og windows/system32 katalogen måtte jeg fjerne mange filer som ikke hadde noe "Company" under "version" tabben i egenskaper... (dette var gjerne prossesser jeg fant i task manager som kjørte i bakgrunnen) Vær forsiktig med hvilke filer du fjerner..

 

Bruk heller bruksanvisningen til Mr.Locke.. Hvi ikke det fungerer så prøv å fjern filene.

'

Lykke til

[neivoll]

Hvordan skifter du bakgrunn? Manuellt med høyreklikk på skrivebordet -> egenskaper -> skrivebord -> bla gjennom.. ?

Hehe, vet hvordan jeg skifter bakgrunn når alt er som det skal, men greia er at det ikke går an å trykke noe når man går inn på skrivebord-egenskapene.

Men skal prøve å gå igjennom hele opplegget ditt, det funker sikkert

[Mr.Locke]

Hvordan skifter du bakgrunn? Manuellt med høyreklikk på skrivebordet -> egenskaper -> skrivebord -> bla gjennom.. ?

Hehe, vet hvordan jeg skifter bakgrunn når alt er som det skal, men greia er at det ikke går an å trykke noe når man går inn på skrivebord-egenskapene.

Men skal prøve å gå igjennom hele opplegget ditt, det funker sikkert

5491224[/snapback]

 

Høres ut som et spyware som hindrer deg rettighete, start (via "kjør.." i startmenyen) gpedit.msc, gå nøye igjennom alle valgene der, og se om det er akivert for hindring av tilgang til elementer der.

Dvs. selvom du har evt. klart å fjerne spywaren, så har den allerede gjort visse instillinger som er permanente til du stiller dem tilbake, dette med skrivebordet er nok en av disse for at det skal reklamere for seg selv som skrivebordsbakgrunn.

 

Dvs. hvis du forandrer bakgrunnsbildet manuelt i registeret fjerner du bare resultatet av problemet, men ikke selve problemet, da må du stille ting slik det skal være i gpedit.msc, og der er det hundrevis av innstillinger desverre, hva som er blitt stillt på av spywaren er derfor vanskelig for meg å finne ut av med mindre jeg sitter på maskinen din selv.