Black Star Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Vi har et stort problem på jobben. Når vi setter inn et hvilket som helst minnekort eller USB penn, så blir alle mappene på minnekortet/USB pennen sperret. Vi får ikke åpnet de, og det rapporteres at mappen har 210kb uansett hvor mye det er på kortet. Det samme minnekortet blir da infisert, for hvis samme minnekortet settes inn i en annen maskin, så får den andre maskinen de samme symptomene. Samtidig, hvis vi prøver å åpne oppgavebehandling, får vi bare beskjed om at den er deaktivert av administratoren, også restarter maskinen. Verken Norton, Norman eller AVG finner noe virus eller trojan ved søk. Vi har holdt på lenge for å prøve å finne en kur, men det endte med at vi bare måtte reformatere en maskin som vi kunne bruke til minnekort og USB penner. Denne fungerte da fint. Vi installerte Norman på den, og da vi satt inn en kundes minnekort som tydeligvis var infisert, så kom Norman opp med en advarsel og satte trojanen i karantene. Vi prøvde å sette inn et av våre infiserte minnekort, men da kom den ikke opp med noen advarsel i det hele tatt... og plutselig var maskinen infisert igjen. Noen som kan hjelpe? For dette går oss skikkelig på nervene. Ønsker ikke å måtte reformatere og installere XP hver eneste gang noen kommer til oss med et minnekort infisert med dette viruset/trojanen. Lenke til kommentar
norbat Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) Kjør dette på den infiserte PC-en og post loggen den lager: Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Fikk du noe navn/filnavn på denne infeksjonen? Endret 10. januar 2008 av norbat Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 Kjør dette på den infiserte PC-en og post loggen den lager: Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Fikk du noe navn/filnavn på denne infeksjonen? Takk for svar! Det var ikke jeg som sto ved maskinen da den fant en trojan på en kundes minnekort, så jeg vet ikke hva navnet var på den. Men jeg tviler uansett på at det var samme, ettersom Norman oppdaget den, men ikke trojanen som er på våre minnekort. Jeg prøver å kjøre Combofix, men et vindu kommer opp to ganger og lukkes automatisk, også skjer det ikke noe mer. Lenke til kommentar
norbat Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Prøv og kjør det fra sikker modus (F8 under oppstart av pc) Alt. prøv å stenge av av-programmer som du har kjørende (inkl. Tea-Timer fra Spybot om du har det) Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 Prøv og kjør det fra sikker modus (F8 under oppstart av pc) Alt. prøv å stenge av av-programmer som du har kjørende (inkl. Tea-Timer fra Spybot om du har det) Fungerer ikke allikevel. Får først opp et vindu der det står "Please wait". Blir borte etter et par sekunder. Så etter ca. 5 sekunder kommer det opp et vindu med "Combofix is preparing to run" som også blir borte etter et par sekunder. Etter det, skjer det ingenting. Takk for at du tar deg tid til å hjelpe. Lenke til kommentar
norbat Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Da får vi ty til Hijackthis og se om ikke det kan fortelle noe: Last ned Hijackthis. Legg det i en egen mappe på skrivebordet. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 Da får vi ty til Hijackthis og se om ikke det kan fortelle noe: Last ned Hijackthis. Legg det i en egen mappe på skrivebordet. Start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og poster. Det gikk. Her er loggen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:12:08, on 10.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programfiler\Norman\Npm\Bin\Elogsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Norman\Npm\Bin\Zanda.exe C:\Programfiler\Norman\npm\bin\nvoy.exe C:\WINDOWS\system32\Microsoft\Msmsgs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programfiler\Norman\Npm\bin\NVCSCHED.EXE C:\Programfiler\Norman\Npm\bin\NJEEVES.EXE C:\Programfiler\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\Programfiler\Norman\Npm\bin\ZLH.EXE C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\SMC\SMCWPCIT-G 108Mbps Wireless PCI adapter\Monitor.exe C:\Programfiler\Norman\Nvc\BIN\NIP.EXE C:\Programfiler\Norman\Nvc\bin\cclaw.exe C:\Programfiler\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\Documents and Settings\Foto-Huset Oslo AS\Skrivebord\HThis\HiJackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Microsoft\Msmsgs.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programfiler\Norman\Npm\bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SMCWPCIT-G 108Mbps Wireless PCI adapter.lnk = C:\Programfiler\SMC\SMCWPCIT-G 108Mbps Wireless PCI adapter\Monitor.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1199446781107 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programfiler\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Programfiler\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Programfiler\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programfiler\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programfiler\Norman\Npm\bin\NVCSCHED.EXE O23 - Service: Norman's Very Own supplY of resources (NVOY) - Norman ASA - C:\Programfiler\Norman\npm\bin\nvoy.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6175 bytes Lenke til kommentar
norbat Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) Start hjt, velg "Do a system scan only", sett merke framfor følgende linjer og klikk Fix checked: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Microsoft\Msmsgs.e xe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Mulig en restart på gjøres, men prøv og kjør combofix på nytt. Endret 10. januar 2008 av norbat Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 Start hjt, velg "Do a system scan only", sett merke framfor følgende linjer og klikk Fix checked:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Microsoft\Msmsgs.e xe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Mulig en restart på gjøres, men prøv og kjør combofix på nytt. Skal gjøre dette, men kjørte en online-scanner fra BitDefender i mellomtiden. Den fant en infeksjon i msmsgs.exe. Den fikk verken fjernet eller fikset filen. Jeg starter opp i sikkerhetsmodus og prøver å fjerne den først. Lenke til kommentar
Jarmo Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Den fant en infeksjon i msmsgs.exe. Kan jeg få lokaliseringen? (stien til plassering) Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 (endret) Det gjør du Tydeligvis ikke. Den ser ut til å være gjemt i c:\windows\system32\microsoft, og jeg får ikke kommet inn på mappealternativer for å vise skjulte filer. Jeg får fortsatt ikke kjørt Combofix, og kjører jeg Hijackthis på nytt, så er de to linjene jeg valgte å fikse, fortsatt tilstede. Gjenstridig trojan dette her... Foresten, angående skjulte filer, så tror jeg trojanen sperrer minnekortet ved å lage en ny mappe med samme navn som mappen på minnekortet, og skjuler den originale. Vi fant ut det ved at det på en ikke-infisert maskin plutselig var en skjult mappe med samme navn som den som ikke var skjult, før maskinen selv ble infisert, og kun viste mappen som ikke var skjult. Den fant en infeksjon i msmsgs.exe. Kan jeg få lokaliseringen? (stien til plassering) c:\windows\system32\microsoft\msmsgs.exe Endret 10. januar 2008 av Super8 Lenke til kommentar
Jarmo Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) This virus, once on your phone, copies itself to your memory card. When you put your memory card into your computer, it infects your computer with W32/Mobler which disables folder options in Windows Explorer and the Control Panel and disables task manager and search option. Noe felles med denne teksten? When the Win32 component is executed in a desktop, it creates a SIS package named Black_Symbian.SIS (detected as SymbOS/Mobler.A). It then attempts to copy this SIS package into any memory card inserted into the desktop, thereby infecting the memory card with SymbOS/Mobler.A. Endret 10. januar 2008 av Jarmo Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 This virus, once on your phone, copies itself to your memory card. When you put your memory card into your computer, it infects your computer with W32/Mobler which disables folder options in Windows Explorer and the Control Panel and disables task manager and search option. Noe felles med denne teksten? When the Win32 component is executed in a desktop, it creates a SIS package named Black_Symbian.SIS (detected as SymbOS/Mobler.A). It then attempts to copy this SIS package into any memory card inserted into the desktop, thereby infecting the memory card with SymbOS/Mobler.A. Det høres veldig kjent ut. Det nevnes ingenting om at mapper på minnekortet gjøres usynlige, men ellers virker det å stemme. Rart at så godt som ingen antivirusprogrammer finner det... eneste var en onlinescanner fra BitDefender... men den fant bare ut at msmsgs.exe var infisert (og lå i "feil" mappe). Den klarte heller ikke å verken slette eller reparere filen. Finnes det noen gode løsninger for å fjerne dette SymbOS/Mobler.a j*velskapen uten å formatere hele harddisken? Lenke til kommentar
Jarmo Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) Du kan prøve avast.com/home. http://www.avast.com/eng/download-avast-home.html Slett alle AV programmer og installer Avast. Du vil få valg av scanning ved neste oppstart, ta den du Ellers har du mer info her: http://www.trendmicro.com/vinfo/virusencyc...SYMBOS_MOBLER.B Endret 10. januar 2008 av Jarmo Lenke til kommentar
Black Star Skrevet 10. januar 2008 Forfatter Del Skrevet 10. januar 2008 Takk for svar Jeg får prøve det når jeg kommer på jobb i morgen. Skriver et innlegg her etterpå. Men det er et par punkter som får meg til å tvile på om det er riktig virus... men ingenting skal være uprøvd. Lenke til kommentar
Jarmo Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Men det er et par punkter som får meg til å tvile på om det er riktig virus... Er litt usikker selv også. Koster ingenting å prøve, unntatt litt tid Lenke til kommentar
Gjest medlem-105082 Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) Tviler på at det hjelper å bytte antivirusprogramm i hytt å pine som dette her. Avast klarer ikke å fjerne/stoppe noe virus som ingen andre antivirusprogrammer klarer. For Avast er ikke noe bedre enn de forrige programmene dere har hatt inne på maskinen. Men hvis det derimot skulle klare det, så skal jeg si jeg blir veldig veldig overrasket. Endret 10. januar 2008 av medlem-105082 Lenke til kommentar
Jarmo Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 (endret) Tviler på at det hjelper å bytte antivirusprogramm i hytt å pine som dette her. Avast klarer ikke å fjerne/stoppe noe virus som ingen andre antivirusprogrammer klarer. For Avast er ikke noe bedre enn de forrige programmene dere har hatt inne på maskinen. Men hvis det derimot skulle klare det, så skal jeg si jeg blir veldig veldig overrasket. Ingen som snakker om bytting av AV. Avast har scanning av systemet ved oppstart som ikke de andre har(valgfritt) Dette skjer før Windows starter opp. Anbefales siden Avast tar veldig mange trojaner og worms, i tillegg til virus. Dog er jeg usikker i dette tilfelle. Endret 10. januar 2008 av Jarmo Lenke til kommentar
norbat Skrevet 10. januar 2008 Del Skrevet 10. januar 2008 Du kan også forsøke en annen fix for å se om den får løst opp litt i kantene: Last ned SDFix.exe. Pakk ut programmet. Restart i sikker modus (tapp f8 under oppstart) Kjør RunThis.bat i SDfix-mappa. Det lages en rapport (Report.txt) som kunne være interessant og sett. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå