Quattro7 Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 Hei. Exe, bat, ini, regedit, cmd osv er ødelagt, det er umulig å kjøre det. Mistenker "hippi virus": Modifies registry making any exe, bat, ini, inf, reg useless, including regedit, cmd ect... deletes restore files and LastKnownGood settings. Hva kan jeg gjøre for å få det til å funke igjen? Lenke til kommentar
norbat Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 Har du mulighet til overhode å gjøre noe som helst på pc'n? Du kunne evt. ha kjørt en repair, men med et evt. aktivt virus så vil problemet mest sannsynlig oppstå igjen. Hvis du får kjørt program på pc'n, kunne du ha prøvd å poste en logg fra Hijackthis. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. Lenke til kommentar
WindowsVista Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 (endret) Går ikke å starte noen .exe filer. Derfor får jeg heller ikke startet HJT. - Quattro7 Edit: Quattro7 virker ikke nå, igjen... Endret 22. mars 2007 av WindowsVista Lenke til kommentar
Quattro7 Skrevet 22. mars 2007 Forfatter Del Skrevet 22. mars 2007 Har kjørt trend micro housecall på maskina. Fjernet endel virus. Men får fortsatt ikke åpnet .exe osv... Lenke til kommentar
norbat Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 Du kan forsøke en repair, men for meg høres det nesten ut som om det er behov for en reinstallering. Får du startet opp i sikker modus (tapp F8 under oppstart).? Får du kjørt noen programmer da? Har EXE-filene byttet -endelse (hvis du har tilgang til utforsker, sjekk hvilken filendelse de har) Lenke til kommentar
WindowsVista Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 Filene endrer ikke etternavn. Men hvis jeg prøver å starte en (for eksempel) .exe fil, blir den litt mer utydelig. Eller lysere, hvis dere skjønner. Men den starter ikke. Men de programmene som er startet, blandt annet opera, funker, men hvis jeg avslutter, går det ikke lenger. Lenke til kommentar
Nobrains Skrevet 22. mars 2007 Del Skrevet 22. mars 2007 Du kunne prøvd og kjøre "system restore" (start-programs-accesories-system tools->) Hopp tilbake en dato du vet det funka.... Den fjerner ikke filer. Den vil bare ødlegge antageligvis alle installasjoner som programmer og spill. Men jeg syntes ikke det er en fullverdig løsning, så jeg ville bare gjort det for og kunne hente ut backup ok før jeg kjørte en reinstall. Lenke til kommentar
Quattro7 Skrevet 22. mars 2007 Forfatter Del Skrevet 22. mars 2007 (endret) Systemgjenoppretting er en .exe fil Da er det vel bare å reinstallere da... Endret 22. mars 2007 av Quattro7 Lenke til kommentar
norbat Skrevet 23. mars 2007 Del Skrevet 23. mars 2007 Se om du får gjort følgende: Hent DrWeb Restart i Sikker modus (tapp F8 under oppstart) Kjør drweb-cureit.exe (si ja til å kjøre en express scan) Når dette er ferdig klikker du på Option -> Change settings. Under fanearket Scan, fjerner du haken ved Heuristic analysis. Under fanearket Actions, skal alle punkt under Malware settes til Rename. Velg partisjon du vil scanne og klikk deretter på den grønne pilen for å starte scanningen. Velg "yes to all" når det finner noe for første gang. ====================== Hvis du ikke får kjørt programmer (heller ikke i sikker modus), kan du prøve noen av de andre online-scannerne. Det kan være en ide å prøve å kjøre slike fra sikker modus (m/nettverk) Panda | CA | Symantec | m.fl. Får du noen navn på 'viruset' ? Lenke til kommentar
WindowsVista Skrevet 23. mars 2007 Del Skrevet 23. mars 2007 Startet i sikkermodus, og nå fungerer filene igjen. Har scannet med alle scannerne. Skal legge ut rapport fra dem etterpå. Lenke til kommentar
Quattro7 Skrevet 23. mars 2007 Forfatter Del Skrevet 23. mars 2007 (endret) Har nå fått startet opp i vanlig modus og alle filer, som ikke fungerte etter virus(?)angrepet, fungerer nå. Har startet scanning med PC-Cillin og andre. Men det var noe i informasjonen om "hippi virus" om at den redigerte registreret, er det i ordren nå?, ingenting mer galt? Når jeg prøver å laste ned DrWeb via linken du postet, restarter pcn, det har skjedd de 3 gangene jeg har prøvd. Edit: Foreløpig 104 elementer funnet med PC-cillin. Endret 23. mars 2007 av Quattro7 Lenke til kommentar
norbat Skrevet 23. mars 2007 Del Skrevet 23. mars 2007 Har du mulighet for å kjøre Hijackthis (link til programmet finner du i en tidligere post) og poste loggen? Lenke til kommentar
Quattro7 Skrevet 23. mars 2007 Forfatter Del Skrevet 23. mars 2007 Logg fra HiJackThis: Klikk for å se/fjerne innholdet nedenfor Logfile of HijackThis v1.99.1Scan saved at 21:22:58, on 23.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\DigitalPersona\Bin\DPWinLct.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\Programfiler\Symantec\DeepSight Extractor\ExtractorService.exe C:\Programfiler\DigitalPersona\Bin\DpHost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\Programfiler\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\WINDOWS\System32\ups.exe C:\Programfiler\RealVNC\VNC4\WinVNC4.exe C:\Programfiler\DigitalPersona\Bin\DPFUSMgr.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe C:\Programfiler\Lexmark 2300 Series\lxcgmon.exe C:\Programfiler\Lexmark 2300 Series\ezprint.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\DigitalPersona\Bin\DPAgnt.exe C:\Programfiler\Microsoft IntelliType Pro\type32.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PccGuide.exe C:\Programfiler\Microsoft IntelliPoint\point32.exe C:\WINDOWS\system32\lxcgcoms.exe C:\Programfiler\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe C:\WINDOWS\system32\ctfmon.exe C:\programfiler\windowsuptime\Windows Uptime.exe C:\Programfiler\Messenger\msmsgs.exe C:\WINDOWS\system32\cidaemon.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\Programfiler\MessengerDiscovery\MessengerDiscovery Live.exe C:\Programfiler\MSN Messenger\usnsvc.exe C:\Programfiler\Opera\Opera.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\WINDOWS\system32\WISPTIS.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Koblingshjelpeprogram for Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI1933~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programfiler\Lexmark 2300 Series\lxcgmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programfiler\Lexmark 2300 Series\ezprint.exe" O4 - HKLM\..\Run: [DPAgnt] C:\Programfiler\DigitalPersona\Bin\DPAgnt.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programfiler\Trend Micro\Internet Security 2007\pccguide.exe" O4 - HKLM\..\Run: [type32] "C:\Programfiler\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [intelliPoint] "C:\Programfiler\Microsoft IntelliPoint\point32.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [OE] "C:\Programfiler\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [VoipStunt] "C:\Programfiler\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized O4 - HKCU\..\Run: [WindowsUptime] "C:\programfiler\windowsuptime\Windows Uptime.exe" /i O4 - HKCU\..\Run: [µTorrent] "C:\Programfiler\µTorrent\utorrent.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1171286683453 O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programfiler\Fellesfiler\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FELLES~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Deepsight Extractor (DeepsightExtractor) - Unknown owner - C:\Programfiler\Symantec\DeepSight Extractor\ExtractorService.exe O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programfiler\DigitalPersona\Bin\DPFUSMgr.exe O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programfiler\DigitalPersona\Bin\DpHost.exe O23 - Service: DeepSight Extractor Service for NPF04 (ExtractorServiceNPF04) - Unknown owner - C:\Programfiler\Symantec\DeepSight Extractor\ExtractorServiceNPF04.exe O23 - Service: GoogleDesktopManager - Unknown owner - C:\Programfiler\Google\Google Desktop Search\GoogleDesktopManager.exe (file missing) O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Spionprogrambeskyttelse fra Trend Micro (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programfiler\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programfiler\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Lenke til kommentar
norbat Skrevet 23. mars 2007 Del Skrevet 23. mars 2007 Vel, loggen så grei ut, men det betyr ikke nødvendigvis at alt er ok. Hvis du nå får kjørt programmer i normal modus, kan du: Hent CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Kjør også noen runder med 'Saker'. Hent SAS, installer, oppdater og kjør en full (Complete) scan. Hent Rootchk og legg det på skrivebordet. Kjør programmet. Det vil lage en loggfil. Post loggen både fra SAS (preferences->statistics/logs) og Rootchk. ============================================ Ang. DrWeb. Hvis du starter i sikker modus m/nettverk, kan det muligens gå bedre med nedlastingen. Prøv det. Lenke til kommentar
Quattro7 Skrevet 23. mars 2007 Forfatter Del Skrevet 23. mars 2007 (endret) Kjørte noen runder med "saker" og "renser" i CCleaner og slettet alle feil. Loggfil fra SUPERAntiSpyware: Klikk for å se/fjerne innholdet nedenfor SUPERAntiSpyware Scan LogGenerated 03/24/2007 at 00:18 AM Application Version : 3.6.1000 Core Rules Database Version : 3205 Trace Rules Database Version: 1215 Scan type : Complete Scan Total Scan Time : 00:40:24 Memory items scanned : 216 Memory threats detected : 0 Registry items scanned : 5283 Registry threats detected : 0 File items scanned : 26072 File threats detected : 6 Adware.Tracking Cookie C:\Documents and Settings\ola nordmann\Cookies\ola [email protected][1].txt C:\Documents and Settings\ola nordmann\Cookies\ola nordmann@advertising[2].txt C:\Documents and Settings\ola nordmann\Cookies\ola nordmann@atdmt[2].txt C:\Documents and Settings\ola nordmann\Cookies\ola [email protected][1].txt C:\Documents and Settings\ola nordmann\Cookies\ola nordmann@serving-sys[1].txt C:\Documents and Settings\ola nordmann\Cookies\ola [email protected][1].txt Loggfil fra Rootchk: Klikk for å se/fjerne innholdet nedenfor ********************************* ROOTCHK-(21-03-07)-LOG, by ejvindh23.03.2007 23:26:47,45 Driver-II NPF is present. This may be either rootkit or legit. ********************************* ROOTCHK-LOG-end Endret 23. mars 2007 av Quattro7 Lenke til kommentar
norbat Skrevet 25. mars 2007 Del Skrevet 25. mars 2007 (endret) Ser greit ut dette. Hvordan oppfører pc'n seg? Hent CCleaner. Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'. Kjør også noen runder med 'Saker'. Ang. DrWeb . Hvis du starter i sikker modus m/nettverk, kan det muligens gå bedre med nedlastingen. Prøv det. Endret 25. mars 2007 av norbat Lenke til kommentar
Quattro7 Skrevet 25. mars 2007 Forfatter Del Skrevet 25. mars 2007 (endret) Pcn oppfører seg normalt. Har kjørt CCleaner endel ganger som du sa. PCn restarter hvis jeg prøver å laste ned DrWeb i Opera, så jeg laster ned i IE nå. Edit: Det samme skjer hvis jeg prøver å laste ned nero fra deres hjemmesider. Endret 25. mars 2007 av Quattro7 Lenke til kommentar
Quattro7 Skrevet 27. mars 2007 Forfatter Del Skrevet 27. mars 2007 (endret) Har merket noen nye ting: * CDrommen vil ikke være ute i mer enn 2 sekunder * Endel drivere er forsvunnet (Skrivere, fingeravtrykkleser etc.) * Nekter å kommunisere med skriver * Antivirus og brannmur fungerer ikke. Oppdaterer posten når jeg oppdager mer. Endret 27. mars 2007 av Quattro7 Lenke til kommentar
norbat Skrevet 27. mars 2007 Del Skrevet 27. mars 2007 En ny HJT-logg kan være på sin plass Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå