Hareide Skrevet 24. desember 2007 Del Skrevet 24. desember 2007 Har en kammerat som er infisert av et eller annet MSN virus. Etter et par google-søk så var jeg sikker på at jeg kunne hjelpe han via denne siden. Det ser derimot ut som han har en nyere variant av viruset som jeg ikke finner noen informasjon om. Det som kommer fram til meg er: "this is my dream house. look at the pool. WOW" sends pictureYXXX.zip (Y = random liten bokstav, X = random siffer) Selv ser han ikke noe til sendingen. I følge linken over, så kan du fjerne det slik: STEP 1 Delete registry entry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "nVidia Display Driver" = "nvsvc64.exe" STEP 2 Restart WINDOWS STEP 3 Delete virus files: %System%\nvsvc64.exe %temp%\imageXX.zip %temp%\XX.exe Men han finner ikke registernøkkelen eller noen av filene som er nevn i fjernigsguiden. De forskjelligefilnavnene hittil: pictureo467.zip picturek528.zip picturer296.zip Noen som har fått til å fjerne dette, eller har noen gode råd? Lenke til kommentar
norbat Skrevet 24. desember 2007 Del Skrevet 24. desember 2007 Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra. Lenke til kommentar
Hareide Skrevet 24. desember 2007 Forfatter Del Skrevet 24. desember 2007 (endret) Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Post loggfilen fra combofix (c:\combofix.txt), så tar vi det derfra. Her er resultatet: ComboFix.txt Er kanskje "drhtdoxqyi"="C:\WINDOWS\system32\drhtdoxqyi.exe" [2007-12-24 12:42] et clue? 24-12-2007 kl 13:01:07 fikk jeg den første "virus" meldingen fra han. Eneste oppstartsprogram jeg ikke kjente igjen var "drhtdoxqyi.exe", men var ikke helt sikker.. Manglende resultater fra google gjør kanskje at dette er en sterk kandidat? Endret 24. desember 2007 av Hareide Lenke til kommentar
norbat Skrevet 24. desember 2007 Del Skrevet 24. desember 2007 (endret) Heisann, svarer mellom middag og dessert: Ja, drhtdoxqyi.exe er saken fra 'msn-viruset'. Den bruker å droppe noen andre filer også, men kan ikke se at de ligger på PC-en vha. combofix-loggen. Du kan fjerne ramlet på følgende måte: Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen. File:: C:\WINDOWS\system32\drhtdoxqyi.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "drhtdoxqyi"=- Endret 25. desember 2007 av norbat Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå