Martin A. Skrevet 27. mars 2006 Del Skrevet 27. mars 2006 Hei Jeg fikk et artig virus her om dagen. Fikk det etter å ha lastet ned noe i en rar-fil. Rakk ikke å se at det var en fil som ikke skulle være der før den sredde seg. Fant først en mappe i Programfiler som ikke skulle være der. WebHancer het den. Startet opp i sikkermodus og slettet den. Installerte virusprogram (som jeg egentlig burde hatt) og kjørte full systemscan, fant da diverse filer under /WINDOWS/System32 som AVG ikke klarte å fjerne, som jeg heller fjernet manuelt, men popups'ene gir seg ikke. Når de først åpner kommer denne adressen: xxx.ad-w-a-r-e.com (fjernet http://www for å unngå hotlinking). Virusnavnet var Adware.Generic.FWR, noe jeg ikke finner på symantec sitt virusleksika. Legger ved loggfilen fra HiJackThis Logfile of HijackThis v1.99.1 Scan saved at 00:24:22, on 28.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\r_server.exe C:\Programfiler\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programfiler\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programfiler\Fellesfiler\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programfiler\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\Motherboard Monitor 5\MBM5.EXE C:\Programfiler\DaemonUI\DaemonUI.exe C:\Programfiler\D-Tools\daemon.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\Programfiler\MSN Messenger\MsnMsgr.Exe C:\Programfiler\MicroStar\WLANUtility\WlanUtility.exe C:\Programfiler\MicroStar\WLANUtility\WLAN_Service.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe C:\WINDOWS\system32\CTF\ctfmon.exe C:\Programfiler\Winamp\winampa.exe C:\Programfiler\mIRC\mirc.exe c:\windows\wincfg.exe C:\Programfiler\Opera\Opera.exe c:\wamp\wampserver.exe c:\wamp\apache2\bin\Apache.exe C:\wamp\apache2\bin\Apache.exe C:\Programfiler\Winamp\winamp.exe C:\Documents and Settings\Martin^^\Mine dokumenter\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank F2 - REG:system.ini: Shell=explorer.exe "C:\Programfiler\Fellesfiler\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKLM\..\Run: [ATIPTA] "C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MBM 5] "C:\Programfiler\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DaemonUI] C:\Programfiler\DaemonUI\DaemonUI.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programfiler\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [WinampAgent] C:\Programfiler\Winamp\winampa.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WlanUtility.lnk = C:\Programfiler\MicroStar\WLANUtility\WlanUtility.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1138327626389 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: Mixer - sndmixex.dll (file missing) O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\l0r00a9med.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programfiler\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programfiler\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programfiler\Fellesfiler\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\Apache.exe" -k runservice (file missing) O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank F2 - REG:system.ini: Shell=explorer.exe "C:\Programfiler\Fellesfiler\Microsoft Shared\Web Folders\ibm00001.exe" Disse fjernet jeg nå. Mvh, Martin Lenke til kommentar
berxter Skrevet 28. mars 2006 Del Skrevet 28. mars 2006 Artig vet jeg nå ikke at det er; Torpig-C er ikke bare festlig. Start med å stoppe prosessen ibm00001.exe fra task manager, så går du til C:\Programfiler\Fellesfiler\Microsoft Shared\Web Folders\ibm00001.exe og sletter hele greia. Ellers så det ikke ut til å være gæernt ved et kjapt øyekast (og det er alt jeg har tid til nå), men jeg ville ha lastet ned Ewido og kjørt den i safe mode, samt Panda Activescan og Trend Housecall. Bernt K Lenke til kommentar
Martin A. Skrevet 28. mars 2006 Forfatter Del Skrevet 28. mars 2006 Trend er kjørt, og finner ingen andre filer enn de jeg vet den finner. Dvs, diverse *.pl og .cpp som inneholder noe den ikke liker. C:\Programfiler\Fellesfiler\Microsoft Shared\Web Folders\ibm00001.exe Den fjernet jeg etter jeg skrev tråden, og filen eksisterte ikke. Fikk nemlig en feilmelding på en når jeg startet maskinen. Men nå ser det ut som at alt funker. Fikk en ny oppdatering på AVG i dag som fant de siste filene til "Adware Generic.FWR" Lenke til kommentar
zjulik Skrevet 28. mars 2006 Del Skrevet 28. mars 2006 Gå til Majorgeeks.com og se etter about-blank removal eller noe i den stilen. About-blank er en gamal vetaren og ikke til å spøke med. Ikke gi deg før du vet du er ren. Lenke til kommentar
HansHG Skrevet 31. mars 2006 Del Skrevet 31. mars 2006 Jeg har samme drite på pc'n min. Ewido finner de samme filene hver gang jeg scanner og sletter disse, men det blir liksom ikke bedre. Lenke til kommentar
berxter Skrevet 31. mars 2006 Del Skrevet 31. mars 2006 Som de fleste andre antivirusprogrammer får du størst effekt ved å kjøre Ewido i safe mode. Bernt K Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå