Virus - ikoner uten tekst + windows update feiler

[m0g1e]

Har en PC hvor det trolig er virus, siden eieren sier han har mistet noen filer + at han har fått melding om det og lignende. NOe mer nøyaktig enn dette vet jeg ikke da det ikke var installert noe virusbeskyttelse på PC.

 

Har skannet med NO32 2.7 - med oppdatert virusdefinisjoner, i både sikkerhetsmodus og i vanlig modus uten resultat. Har også sjekket en rask gang med SAS, men ingen treff her heller.

 

Hva jeg finner er at Windows Update forsøker å installere oppdateringer (som den igjen spør om du vil installere - altså de blir ikke installert mao). Utover dette har jeg funnet filer i "Min Datamaskin" og på skrivebordet som ikke har noe navn eller størrelse. Om ikonet i Min Datamaskin ligger fra en frakoblet enhet kan godt være, men ikoner funnet på skrivebordet er jeg mer skeptisk til. Uansett kan det godt være at viruset ligger i systemet og forårsaker at Win Update kræsjer også.

 

Uansett så kjører jeg en reinstallasjon av Windows XP Home SP2 i dette øyeblikk. Om noen har erfaringer om liknende hadde det vært flott med en respons da jeg har tatt en del backup av innholdet på PC-en, og sjansen for at den kan infiseres på nytt er stor..

 

edit; skriveleif

Endret 14. mars 2008 av mogie

[snippsat]

Vi kan jo se om det er noe grums.

 

Last ned HijackThis legg i egen mappe på skrivebordet.

Start programmet og velg "Trykk scan og save log" .

Loggfilen kopierer du og limer inn i posten din.

Helst med skjult tekst [1skjul] logg her [1/skjul] fjern 1 for skjult tekst.

Endret 14. mars 2008 av SNIPPSAT

[m0g1e]

Vi kan jo se om det er noe grums.

 

Last ned HijackThis legg i egen mappe på skrivebordet.

Start programmet og velg "Trykk scan og save log" .

Loggfilen kopierer du og limer inn i posten din.

Helst med skjult tekst [1skjul] logg her [1/skjul] fjern 1 for skjult tekst.

 

Litt sent nå dessverre. Tenkte ikke tanken da jeg trodde HJT vanligvis kun fant malware og ikke virus. Kom på det nå at det var muligens en mulighet her..

[snippsat]

Hjt finner spor både virus og spyware.

Er som regel bare en start for og velge riktig verktøy for fjerning.

[m0g1e]

Kjørte et image av alt innholdet før jeg reinstallerte har restora det og kjørte en HJT-logg:

 

Klikk for å se/fjerne innholdet nedenfor

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:42:26, on 16.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programfiler\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\programfiler\Telenor\Mobilt Kontor\Mobilt Kontor.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\Programfiler\Fellesfiler\GtFlashSwitch\GtFlashSwitch.exe

C:\Programfiler\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

E:\clean_box\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://no.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Mobilt Kontor.lnk = C:\programfiler\Telenor\Mobilt Kontor\Mobilt Kontor.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Programfiler\Windows Live Toolbar\msntb.dll/search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Blogg dette - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programfiler\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blogg dette i Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programfiler\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programfiler\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe (file missing)

O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\ccProxy.exe (file missing)

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\ccSetMgr.exe (file missing)

O23 - Service: GtFlashSwitch - OptionNV - C:\Programfiler\Fellesfiler\GtFlashSwitch\GtFlashSwitch.exe

O23 - Service: HP WMI Interface (hpqwmi) - Unknown owner - C:\Programfiler\HPQ\SHARED\HPQWMI.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)

O23 - Service: iPod-tjeneste (iPodService) - Unknown owner - C:\Programfiler\iPod\bin\iPodService.exe (file missing)

O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Programfiler\Norton Internet Security\ISSVC.exe (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programfiler\Fellesfiler\LightScribe\LSSrvc.exe (file missing)

O23 - Service: Norton AntiVirus Auto-Protect-tjeneste (navapsvc) - Unknown owner - C:\Programfiler\Norton Internet Security\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe

O23 - Service: SAVScan - Unknown owner - C:\Programfiler\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)

O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programfiler\Fellesfiler\Symantec Shared\Security Center\SymWSC.exe (file missing)

O23 - Service: Messenger Sharing Folders USN Journal Reader-tjeneste (usnjsvc) - Unknown owner - C:\Programfiler\Windows Live\Messenger\usnsvc.exe (file missing)

 

--

End of file - 7365 bytes

[snippsat]

Start HijackThis finn disse linjene merk dem,så trykk fixed checked.

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

 

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

 

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file

 

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

 

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

 

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

 

Du har rester fra norton som kjører.

Norton-Removal-Tool

 

Last ned oppdatere og kjør full scan SAS free

 

Last Combofix ned ,legg på skrivebordet.

Ikke klikk på vindu mens programet kjører.

post logg C:\combofix.txt

 

Restart og en ny HijackThis logg.

[m0g1e]

Har nå måttet leverte ifra meg PC-en med en ren XP installasjon.. skulle gjerne klart å få fjernet alt uten å trenge en reinstall har alltid dette som mål!

 

Har uansett åpnet en ny tråd på en verre PC jeg har mottatt her

 

https://www.diskusjon.no/index.php?showtopic=928344

Endret 22. mars 2008 av mogie