Mystical Skrevet 15. februar 2007 Del Skrevet 15. februar 2007 (endret) Hei Jeg fikk for noen timer siden et virus på pc'en min. Og det kan virke som det er et virus som har kommet via msn. Det tillater meg ikke å åpne noen virus, ad-aware eller tilsvarende programmer, det bare lukker de ned. I tillegg så lukker det browseren med en gang jeg søker på ordet virus. Har forsøkt med system restore, men det virker som det også blir forhindret, for får bare beskjed om at maskinen ikke kunne tilbakestilles. Har forsøkt å kjøre igjennom Avast anti-viurs i safe mode, men det fant ikke noe. Og forsøker nå og kjøre igjennom AVG Anti-Virus fra grisoft. Men er veldig usikker på om det er mulighet for å finne disse virusene når man kjører i safe mode? Jeg har et program til som heter SUPERAntiSpywarePro som jeg skal forsøke å kjøre igjennom, men om ikke det klarer å fjerne noe, så har jeg ikke flere forslag enn å formatere og legge inn windows på nytt. Vet ikke om det er noen som har vært borti dette viruse eller har noen tips om hva jeg bør forsøke? På forhånd takk Endret 15. februar 2007 av Mystical Lenke til kommentar
Beej80 Skrevet 15. februar 2007 Del Skrevet 15. februar 2007 (endret) Hei. Gå på google, søk på sysinternals. Gå inn på siden til Microsoft, gå til sikkerhet. (Den med sysinternals) Last ned : -Process explorer -Autoruns -RootkitRevealer Kjør alle 3 Process explorer lar deg drepe alt du ikke vil ha der og da. Autoruns lar deg endre ALLE ting som blir automatisk startet ved oppstart. RootkitRevealer finner rootkits. Lykke til. Mvh, Beej80 Endret 15. februar 2007 av Beej80 Lenke til kommentar
Mystical Skrevet 15. februar 2007 Forfatter Del Skrevet 15. februar 2007 Takk for tips. Jeg skal forsøke de og se om de kan være til noe hjelp. Men sånn som det RootkitRevealer, vil det også fjerne eventuelle virus o.l, eller bare vise hvor det er gjemt? Glemte å legge til at det viruset jeg har fått på pc'en forhindrer meg i å åpne oppgavebehandlingen også. Mvh Mystical Lenke til kommentar
norbat Skrevet 15. februar 2007 Del Skrevet 15. februar 2007 (endret) Post en Hijackthis-logg. Det gjør du ved å laste ned programmet, starter programmet og velger "Do a system scan and save a logfile". EDIT: Du kan prøve en system restore fra sikker modus... Endret 15. februar 2007 av norbat Lenke til kommentar
Mystical Skrevet 15. februar 2007 Forfatter Del Skrevet 15. februar 2007 Takk, da skal jeg forsøke det, men vil det fungere å kjøre i Safe Mode? For det er den eneste muligheten, ellers vil bare programmet blir lukket av viruset. Lenke til kommentar
norbat Skrevet 15. februar 2007 Del Skrevet 15. februar 2007 Takk, da skal jeg forsøke det, men vil det fungere å kjøre i Safe Mode? For det er den eneste muligheten, ellers vil bare programmet blir lukket av viruset. 7952480[/snapback] Hvis det gjelder HJT, så ja, du kan kjøre det fra sikker modus, men det er mulig at det ikke viser hva som er problemet da. Det virker som om pc får kjørt seg litt så det du kan gjøre er (fra sikker modus m/nettverk): Hent DrWeb. Det er en slags engangsscanner. Kjør drweb-cureit.exe (si ja til å kjøre en express scan) Når dette er ferdig klikker du på Option -> Change settings. Under fanearket Scan, fjerner du haken ved Heuristic analysis. Under fanearket Actions, skal alle punkt under Malware settes til Rename. Velg partisjon du vil scanne og klikk deretter på den grønne pilen for å starte scanningen. Velg "yes to all" når det finner noe for første gang. Deretter kjører du en full scan med Superantispyware Restart i normal modus Lag en logg fra HJT og legg ut. Lenke til kommentar
Mystical Skrevet 15. februar 2007 Forfatter Del Skrevet 15. februar 2007 Her kommer loggen fra HijackThis: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Programmer\Alwil Software\Avast4\aswUpdSv.exe D:\Programmer\Alwil Software\Avast4\ashServ.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\Programmer\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\windows\system32\Diup.exe D:\Programmer\Logitech\MouseWare\system\em_exec.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Messenger\msmsgs.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\WINDOWS\system32\devldr32.exe D:\Programmer\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\HPZipm12.exe D:\Programmer\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\MSN Messenger\msnmsgr.exe D:\Programmer\Alwil Software\Avast4\ashWebSv.exe D:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Lars Marius\Desktop\nødvendig\HijackThis 1.99.1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vg.no/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmer\adobe acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programmer\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinService] c:\windows\system32\Diup.exe O4 - HKCU\..\Run: [AVantivirus] c:\windows\Antivirus32.exe O4 - HKCU\..\Run: [system] c:\windows\ZaZ.exe O4 - HKCU\..\Run: [servicewin] c:\windows\system32\Hide32.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: hp psc 1000 series.lnk = ? O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmer\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programmer\AVG Anti-Spyware 7.5\guard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe Lenke til kommentar
norbat Skrevet 15. februar 2007 Del Skrevet 15. februar 2007 (endret) Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper" Kjør HJT, sett merke framfor følgende linjer og klikk Fix checked: O4 - HKCU\..\Run: [WinService] c:\windows\system32\Diup.exe O4 - HKCU\..\Run: [AVantivirus] c:\windows\Antivirus32.exe O4 - HKCU\..\Run: [system] c:\windows\ZaZ.exe O4 - HKCU\..\Run: [servicewin] c:\windows\system32\Hide32.exe Restart i sikker modus (tapp f8 under oppstart) Bruk utforsker til å finne og slette (i bold): c:\windows\system32\Diup.exe c:\windows\Antivirus32.exe c:\windows\ZaZ.exe c:\windows\system32\Hide32.exe Kjør deretter tidligere nevnte anvisning (DrWeb og SAS) (EDIT: Ser du kjører AVGas, du kan godt bruke det istenden for SAS) Endret 15. februar 2007 av norbat Lenke til kommentar
Mystical Skrevet 16. februar 2007 Forfatter Del Skrevet 16. februar 2007 Da har jeg gjennonført de anbefalte forløpene, og pc'en virker å være mer medgjørlig nå. Har altså kjørt igjennom DrWeb i safe mode, og deretter SUPERAntiSpywarePro i normal modus. I tilleg kjørte jeg igjennom Avast antivirus. Legger ved Hijecthis loggen som blir generert sånn det er nå, så får dere med gode kunnskaper på området kontrollere resultatet. Bare legge til at jeg er litt usikker på de to siste exe filene (den nest siste er muligens relatert til min hp skriver). Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programmer\Alwil Software\Avast4\aswUpdSv.exe D:\Programmer\Alwil Software\Avast4\ashServ.exe D:\Programmer\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\Programmer\Logitech\MouseWare\system\em_exec.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\WINDOWS\system32\devldr32.exe D:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe D:\Programmer\Alwil Software\Avast4\ashMaiSv.exe D:\Programmer\Alwil Software\Avast4\ashWebSv.exe D:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Documents and Settings\Lars Marius\Desktop\nødvendig\HijackThis 1.99.1\nyttig\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vg.no/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmer\adobe acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programmer\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] D:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: hp psc 1000 series.lnk = ? O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - D:\Programmer\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmer\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programmer\AVG Anti-Spyware 7.5\guard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe Lenke til kommentar
norbat Skrevet 16. februar 2007 Del Skrevet 16. februar 2007 (endret) Denne loggen så da riktig så fin ut. Kunne du legge ut loggen fra SAS (preferences->statistics/logs)? Du bør nullstille gjenopprettingsmappa slik at du ikke blir infisert ved en evt. systemgjenoppretting. Kontrollpanel->system->systemgjenoppretting . Sett merke framfor "Slå av .....", restart pc, fjern merket igjen for å aktivere funksjonen. Etterpå lager du deg et gjenopprettingspunkt manuelt Tilbehør->systemverktøy->systemgjenoppretting . Velg å opprette et nytt. Navgi det og klikk opprett. Du bør også jevnlig kjøre en temp-rens. Bruk f.eks. CCleaner. Hvordan kjører pc'n? (Når du poster en HJT bør du ta med det som står øverst i loggen også - altså der det som står om dato, windowsversjon etc.) Endret 16. februar 2007 av norbat Lenke til kommentar
Mystical Skrevet 16. februar 2007 Forfatter Del Skrevet 16. februar 2007 (endret) Pc'en virker ganske ålreit, men jeg må prøve en liten stund til føre jeg kan si noe konkret. For har ikke brukt den annet en en times tid nå i dag. Men legger ved loggen fra SAS, hvor det ser ut som det bare ble funnet cookies: SUPERAntiSpyware Scan Log Generated 02/16/2007 at 10:30 AM Application Version : 3.5.1016 Core Rules Database Version : 3165 Trace Rules Database Version: 1176 Scan type : Complete Scan Total Scan Time : 00:53:29 Memory items scanned : 398 Memory threats detected : 0 Registry items scanned : 4760 Registry threats detected : 0 File items scanned : 35102 File threats detected : 23 Adware.Tracking Cookie C:\Documents and Settings\Lars Marius\Cookies\lars marius@serving-sys[2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@tradedoubler[3].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][2].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][3].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@adtech[3].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@doubleclick[2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@adfair[1].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][1].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@cgi-bin[3].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][2].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][2].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][1].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@mediaplex[2].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@advertising[2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@atdmt[3].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][1].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][3].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][1].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@indextools[2].txt C:\Documents and Settings\Lars Marius\Cookies\lars marius@yourmedia[1].txt C:\Documents and Settings\Lars Marius\Cookies\lars [email protected][1].txt Eller vil jeg takke så mye for hjelpen norbat. Du har guidet meg frem ved hjelp av en stegvis prosess som ikke har vært mulig å misforstå Og bare en siste ting i forhold til sletting av temp filene. Det er vel ikke skadelig å bare slette de manuelt ved å gå til Kjør -> skrive %temp% -> og slette alle filene som ligger der? Mvh Mystical Endret 16. februar 2007 av Mystical Lenke til kommentar
norbat Skrevet 16. februar 2007 Del Skrevet 16. februar 2007 Nei, skadelig er det ikke og om du synes det fungerer greit nok for deg så fortsetter du med det. CCleaner har noen flere valg slik at du får renset litt grundigere, men noen absolutt 'must' er ikke dette programmet selv om det er et godt og gratis! program Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå