r2d290 Skrevet 11. juni 2008 Del Skrevet 11. juni 2008 (endret) Hallo Hjelper en person med å fjerne en trojan (og en del annet som jeg har fått fjernet i forbindelse med bl.a virus alert. La merke til at Combofix ikke fikk til å fjerne en fil, og spurte da norbat om hjelp. Fikk da tips om SDFix og ny combofix. Dette hjalp ikke Gidder dere hjelpe meg med siste finpuss? (Brukeren ønsker også å kvitte seg med norman, og kjørte veiledningen på siden deres. Er noen Zanda.exe filer (linjer i hijackthis loggen) igjen, men er ikke helt sikker på hvordan de bør fjernes. HJT (før følgende programmer): http://www.pastebin.no/7794 SDFix: http://www.pastebin.no/7805 Combofix: http://www.pastebin.no/7806 (Trykk på "Vis uten linjenummer" for å fjerne de irriterende tallene) Takk Endret 14. juni 2008 av r2d290 Lenke til kommentar
norbat Skrevet 11. juni 2008 Del Skrevet 11. juni 2008 Hent Avenger og pakk det ut. Start programmet, sett prikk i "Input Script Manually" og klikk på lupen. I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under: Files to delete: C:\WINDOWS\system32\hcnwg4u.sys Klikk på Trafikklyset. Restart PC-en. Etter restart vil det komme en loggfil som forteller hva som har skjedd. Post den. Gjør også følgende: Last ned Malwarebytes Anti-Malware til skrivebordet. Kjør og installer programmet. Velg Norsk-språk La programmet oppdatere seg og velg å kjør en 'hurtig systemscan', klikk Skann. Det kommer en meldingsboks om at scannen er ferdig, klikk Ok Klikk på 'Vis resultat'-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet. Klikk så påFjern valgte -knappen for å fjerne malwaren som evt. ble funnet. Det vil deretter åpnes en logg i notisblokk. Den kan du kopiere og poste. Lenke til kommentar
r2d290 Skrevet 12. juni 2008 Forfatter Del Skrevet 12. juni 2008 Avenger fikk fjernet trojanen Avenger: http://www.pastebin.no/7942 MAM: http://www.pastebin.no/7949 Combofix: http://www.pastebin.no/7956 HijackThis: http://www.pastebin.no/7957 HijackThis fjerner O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU) men når maskinen restartes, er den tilbake. Er det noe mer i combofix-loggen? Lenke til kommentar
norbat Skrevet 12. juni 2008 Del Skrevet 12. juni 2008 Disse to registeroppføringene finner jeg ingen opplysninger om. Det du kan gjøre er å gå ut i registeret, ta backup av Minimal, for deretter å slette disse to oppføringene: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ptx15.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winhn17.sys Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. File:: C:\WINDOWS\system32\WinCtrl32.0ll C:\WINDOWS\esbq.0xe C:\WINDOWS\xmpstean.0xe C:\ximnibr.0xe C:\d1.exe Folder:: C:\276617759 Post ny logg. Lenke til kommentar
r2d290 Skrevet 12. juni 2008 Forfatter Del Skrevet 12. juni 2008 "Gå ut i registeret"=start->kjør->regedit? "Ta backup av Minimal"=kopiere "Minimal" til en annen plass på maskinen? Lenke til kommentar
norbat Skrevet 12. juni 2008 Del Skrevet 12. juni 2008 Ja, skriv regedit i kjør-feltet. Bla deg fram til Minimal-'mappa', høyreklikk på den og velg å eksportere. Lagre fila på en plass du kan finne igjen. Deretter sletter du de to oppføringene som er nevnt. Du finner dem under/i Minimal-mappa Lenke til kommentar
r2d290 Skrevet 12. juni 2008 Forfatter Del Skrevet 12. juni 2008 Combofix av CFScript http://www.pastebin.no/7989 Lenke til kommentar
norbat Skrevet 13. juni 2008 Del Skrevet 13. juni 2008 Lag nytt CFScript med følgende innhold: File:: C:\WINDOWS\system32\drivers\Winhn17.0ys C:\WINDOWS\TEMP\initial.xml Folder:: C:\276617759 Driver:: winhn17 ptx15 Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] Trenger ingen ny logg fra combofix, men post en ny hjt-logg. Det ligger noen henvisninger til Symantec, så du kunne ha kjørt en runde med Norton Removal Tool Lenke til kommentar
r2d290 Skrevet 14. juni 2008 Forfatter Del Skrevet 14. juni 2008 (endret) HJT http://www.pastebin.no/8140 Får fortsatt ikke til å fjerne O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU) kommer tilbake etter restart Edit: og C:\276617759 forsvant ikke fra combofix, etter å kjøre CFScriptet. Hva betyr dette? Endret 14. juni 2008 av r2d290 Lenke til kommentar
norbat Skrevet 14. juni 2008 Del Skrevet 14. juni 2008 09-linja di er antakelig en leftover etter ett eller annet. Registerstien der 09-linjene peker til er: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping Du kan jo gå ditt og se hva som evt. ligger der. Antar du lukker IE før du kjører HJT? Kan det være Ad-aware el. Spybot som holder på dette? Ta en titt i mappa C:\276617759 og se hva som evt. ligger der. Skulle ikke være noe i veien for å bare la den få være i fred. Lenke til kommentar
r2d290 Skrevet 14. juni 2008 Forfatter Del Skrevet 14. juni 2008 (endret) Supert. Da klarer jeg nok siste biten på egenhånd. Takk skal du ha Endret 14. juni 2008 av r2d290 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå