[LØST]Trenger hjelp til å hjelpe...oppgavebehandling deaktivert... Combofix+hjt-logg.

[r2d290]

Hallo

 

Skal hjelpe en person som har fått et virus/spyware

 

Symptom:

-oppgavebehandlingen ble deaktivert "av administratoren".

-popups

 

Etter å ha kjørt spybot, fikk han fjernet masse. Skal høre om det er mulig å få en logg på dette.Han fikk etter dette tilgang til oppgavebehandlingen, og ting virket tilsynelatende bra. Det var etter dette at jeg grep inn, og fikk en combofix-logg og hijackthis-log. Er ikke helt stø på combofix enda, så tenkte det var best å få litt hjelp

 

Symptom etter spybot:

Windows har problemer med å åpne diverse programmer

 

combofix

 

*logger slettet*

Endret 23. april 2008 av r2d290

[norbat]

Hei,

 

Vurder å avinstaller fra legg til/fjern programmer:

Messenger Plus! Live (Det virker ikke som om sponsorprogrammet er installert men.....)

 

Det ligger fortsatt en del filer etter infeksjonen. Du kan be vedkommende om å opprette en CFScript-fil (notisblokk) med følgende innhold:

File::

C:\WINDOWS\system32\gdpjtipu.ini

C:\WINDOWS\system32\meusajes.ini

C:\WINDOWS\system32\sshebvqa.ini

C:\WINDOWS\system32\vqgllipg.ini

C:\WINDOWS\pmsoarbf.dll

C:\WINDOWS\npqtsrak.exe

 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{87E4E1B0-1DC4-48A3-B8D4-1DCA6EFCABC6}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBrpqQI]

 

Denne lagres altså med navnet CFScript og dras og slippes over combofix-iconet. Combofix vil starte igjen.

 

Du kan også be vedkommende om å kjøre en scan med SAS.

 

Post gjerne SAS-loggen sammen med ny HJT-logg.

[r2d290]

Hadde litt problemer med å legge inn den CFScript-fila. Når han gjør det, starter combofix, og den kommer til stage8 og så går maskinen i et slags "stand-by" modus. Dette gjentar seg hver gang. Han har prøvd å reinstallere programmet, men det skjer fortsatt.

 

I dette "stand-by" moduset, jobber hardisken for fult, og den starter ikke hvis jeg trykker på noen knapper e.l.

 

Dessuten: Autorun.inf og ikonene for ekstern harddisk har blitt borte etter at han kjørte combofix.

 

Vet dere hva det kan komme av?

[snippsat]

Dessuten: Autorun.inf og ikonene for ekstern harddisk har blitt borte etter at han kjørte combofix.

 

Vet dere hva det kan komme av?

De Autorun.inf filer har combofix slettet.

 

Har combofix slått seg vrang,kan du gjøre dette.

 

Finne disse filer norbat har funnet og sletter dem manuelt.

Problem bruk Unlocker

 

C:\WINDOWS\system32\gdpjtipu.ini

C:\WINDOWS\system32\meusajes.ini

C:\WINDOWS\system32\sshebvqa.ini

C:\WINDOWS\system32\vqgllipg.ini

C:\WINDOWS\pmsoarbf.dll

C:\WINDOWS\npqtsrak.exe

 

Kjører SAS.

 

Restart og poste en hijackthis logg.

Så tar vi de registeroverføringer som skulle bort med hjt.

Endret 21. april 2008 av SNIPPSAT

[r2d290]

hvor ligger logikken i at combofix fjerner de autorun-filene?

[snippsat]

Combofix har sammenlignet disse opp mot registert.

Funnet noe som ikke skulle være der og slettet dem.

 

Her er en type.

http://www.viruslist.com/en/viruses/encycl...?virusid=160221

[r2d290]

Er det mulig å få tilbake noen nye (rene) autorun-filer? kommer med logger senere

[r2d290]

*logg slettet*

da er det vel

O2 - BHO: (no name) - {87E4E1B0-1DC4-48A3-B8D4-1DCA6EFCABC6} - (no file)

O20 - Winlogon Notify: geBrpqQI - geBrpqQI.dll (file missing)

 

som skal vekk?

Endret 23. april 2008 av r2d290

[snippsat]

Ja det er de linjer.

 

Du kjenner jo til dette, bruk pcen.

Virker den greit så avinstallere combofix

[r2d290]

men igjen: Er det mulig å få tilbake noen nye (rene) autorun-filer?

[JallaMario]

Autoplay Repair Wizard tror jeg.

[snippsat]

Ja ja autorun-filer

 

Disse kan du lage selv.

 

Notisblokk.

 

[autorun]

open=<navnet på filen du vil at skal åpne>

 

Lagere "autorun.inf"

 

For at dette skal virke må dette stå på

Start->kjør->gpedit.msc

Admistrative maler->system->se på høyere side nå.

Aktivere autokjør.

Endret 22. april 2008 av SNIPPSAT