[LØST]Virus: win32:agent-zfe og -zge

perkforr · 6. juli 2008

Jeg har fjernet disse trojanske hestene fra maskinen til min bror men jeg får fremdeles ikke administrator rettigheter på alt. Datoen er f.eks. endret til "Virus alert" og Control Panel finnes ikke lenger i menyen. Jeg får ikke åpnet snarveier som Windows+E eller ctrl+alt+del.

Jeg har installert Avast antivirus og den finner ikke flere virus.

Den fjernet totalt 16 virus. En som heter win32:trojan-gen gikk igjen 6 ganger. Eller var de to som er nevnt i emne tittel, win32:vapsup-gr,-gt og -gq, win32:agent-lts, og win32:virtumonde-kh.

Derfor er jeg litt usikker på om jeg er kvitt alle virus og hva mitt neste steg bør være. Jeg har prøvd å logge på i sikkermodus for å se om brukeren min er administrator og det er den.

Jeg lurer derfor på om jeg er kvitt virusene og hvordan jeg skal rette opp de feilene som ligger igjen etter at maskinen har blitt mishandlet av virusene.

Tusen takk for alle mulige innspill.

Endret 9. juli 2008 av perkforr

woptidu · 6. juli 2008

Var jeg deg ville jeg bare kopiert ut alle de viktige filene og så formattert disken(e) samtidig som jeg reinstallerte windows.

Husk å scanne filene før du kjører/aksesserer de igjen, og vent gjerne med å koble deg til nett til du har fått installert et antivirusprogram [om du ikke sitter bak en router/dedikert firewall]

Husk windows update også

norbat · 6. juli 2008

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt)

perkforr · 7. juli 2008

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt)

Jeg skal gjøre det når jeg kommer hjem. Jeg syntes det bare er litt rart at dette programmet kan være så utrolig at det kan fikse alle typer virus. PC'en er jo blitt kapret nesten og da er det litt rart at den klarer å fikse dette.

Jeg har forresten kjørt hijack og fjernet de filene som var skadelige ifølge den automatiske sjekklisten på en eller annen nettside.

norbat · 7. juli 2008

Combofix fjerner en hel del malware, men det er ikke noe vidunderprogram som fjerner alt - selv om at det ofte finner og fjerner en god del av 'problemet'. Det finnes noen gode antispywareprogram som er å foretrekke. Combofix lager imidlertid en logg som forteller om det ligger filer på pc'n som skal fjernes. Til det, er dette et meget godt program og det er det som gjør at vi benytter dette programmet så mye i slike saker.

perkforr · 7. juli 2008

Her er fila fra combofix. Og det utrolige er at nå får jeg tilgang til Kontrol Panel. Utrolig at jeg aldri har oppdaget dette programmet tidligere siden jeg jobber med kunder som har problemer med virus støtt og stadig.

Da er vel spørsmålet om alt er fikset?

ComboFix 08-07-05.1 - Familie 2008-07-07 18:19:58.1 - NTFSx86

Running from: C:\Documents and Settings\Familie\Skrivebord\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Familie\Programdata\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk

C:\WINDOWS\cookies.ini

C:\WINDOWS\Downloaded Program Files\setup.inf

C:\WINDOWS\privacy_danger

C:\WINDOWS\system32\ctfaqwlk.ini

C:\WINDOWS\system32\qssDgfii.ini

C:\WINDOWS\system32\qssDgfii.ini2

.

((((((((((((((((((((((((( Files Created from 2008-06-07 to 2008-07-07 )))))))))))))))))))))))))))))))

.

2008-07-07 18:28 . 2008-07-07 18:28 294 ---hs---- C:\WINDOWS\system32\ctfaqwlk.ini

2008-07-06 16:50 . 2008-07-06 16:50 <DIR> d-------- C:\Programfiler\Alwil Software

2008-07-06 15:41 . 2008-07-06 15:41 268 --ah----- C:\sqmdata14.sqm

2008-07-06 15:41 . 2008-07-06 15:41 244 --ah----- C:\sqmnoopt14.sqm

2008-07-06 15:15 . 2008-07-06 15:51 <DIR> d-------- C:\Programfiler\Trend Micro

2008-07-06 15:02 . 2005-08-16 11:03 <DIR> dr------- C:\Documents and Settings\Administrator.MARIUS\Start-meny

2008-07-06 15:02 . 2005-08-16 11:03 <DIR> d--h----- C:\Documents and Settings\Administrator.MARIUS\Skrivere

2008-07-06 15:02 . 2008-07-06 15:15 <DIR> d-------- C:\Documents and Settings\Administrator.MARIUS\Skrivebord

2008-07-06 15:02 . 2008-07-06 15:22 <DIR> dr-h----- C:\Documents and Settings\Administrator.MARIUS\Siste

2008-07-06 15:02 . 2005-08-16 09:28 <DIR> d-------- C:\Documents and Settings\Administrator.MARIUS\Programdata\Symantec

2008-07-06 15:02 . 2005-08-16 09:43 <DIR> dr-h----- C:\Documents and Settings\Administrator.MARIUS\Programdata

2008-07-06 15:02 . 2005-08-16 09:16 <DIR> dr------- C:\Documents and Settings\Administrator.MARIUS\Mine dokumenter

2008-07-06 15:02 . 2005-08-16 09:08 <DIR> d--h----- C:\Documents and Settings\Administrator.MARIUS\Maler

2008-07-06 15:02 . 2008-07-07 18:23 <DIR> d--h----- C:\Documents and Settings\Administrator.MARIUS\Lokale innstillinger

2008-07-06 15:02 . 2008-07-06 15:27 <DIR> dr------- C:\Documents and Settings\Administrator.MARIUS\Favoritter

2008-07-06 15:02 . 2005-08-16 11:03 <DIR> d--h----- C:\Documents and Settings\Administrator.MARIUS\AndrMask

2008-07-06 15:02 . 2008-07-06 15:02 <DIR> d-------- C:\Documents and Settings\Administrator.MARIUS

2008-07-06 14:59 . 2008-07-06 14:59 89,088 --a------ C:\WINDOWS\system32\klwqaftc.dll

2008-07-06 14:10 . 2008-07-06 14:10 268 --ah----- C:\sqmdata13.sqm

2008-07-06 14:10 . 2008-07-06 14:10 244 --ah----- C:\sqmnoopt13.sqm

2008-06-18 18:46 . 2008-06-18 18:46 1,556,480 --a------ C:\WINDOWS\system32\saqgyagx.tmp

2008-06-17 20:34 . 2008-07-06 14:49 <DIR> d-------- C:\WINDOWS\privacy_danger(2)

2008-06-17 19:15 . 2008-07-06 14:51 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata

2008-06-17 19:15 . 2008-07-06 14:51 <DIR> d-------- C:\Documents and Settings\Administrator\Maler

2008-06-17 19:15 . 2008-07-07 18:23 <DIR> d-------- C:\Documents and Settings\Administrator\Lokale innstillinger

2008-06-17 19:15 . 2008-07-06 14:51 <DIR> d-------- C:\Documents and Settings\Administrator\Favoritter

2008-06-17 19:15 . 2008-07-06 14:51 <DIR> d---s---- C:\Documents and Settings\Administrator

2008-06-17 17:51 . 2008-06-17 19:06 <DIR> d-------- C:\Documents and Settings\Familie\.housecall6.6

2008-06-17 16:42 . 2008-06-17 16:42 197 --a------ C:\WINDOWS\system32\MRT.INI

2008-06-15 14:02 . 2008-07-06 16:30 <DIR> d-------- C:\Programfiler\Norton AntiVirus

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-06 15:28 --------- d-----w C:\Programfiler\AVI Codec Pack

2008-07-06 14:39 --------- d-----w C:\Programfiler\Symantec

2008-07-06 14:39 --------- d-----w C:\Programfiler\Fellesfiler\Symantec Shared

2008-07-06 14:33 --------- d-----w C:\Documents and Settings\All Users\Programdata\Symantec

2008-07-06 14:32 --------- d-----w C:\Programfiler\CCleaner

2008-07-06 14:20 --------- d-----w C:\Documents and Settings\Familie\Programdata\Symantec

2008-07-06 13:39 --------- d-----w C:\Programfiler\lg_swupdate

2008-07-06 13:28 --------- d-----w C:\Programfiler\Google

2008-06-14 18:00 272,256 ----a-w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-08 16:50 --------- d-----w C:\Documents and Settings\Familie\Programdata\OpenOffice.org2

2008-05-26 20:00 --------- d-----w C:\Programfiler\Fellesfiler\Adobe

2008-05-26 19:55 --------- d-----w C:\Documents and Settings\Familie\Programdata\AdobeUM

2008-05-21 09:25 --------- d-----w C:\Programfiler\Java

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2006-11-07 18:48 774,144 ----a-w C:\Programfiler\RngInterstitial.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="C:\Programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 21:05 344064]

"batterymiser"="C:\Programfiler\LG Software\Battery Miser 2005\batterymiser.exe" [2006-06-01 17:54 335872]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"InCD"="C:\Programfiler\Ahead\InCD\InCD.exe" [2005-04-12 11:15 1383936]

"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 20:05 2532576]

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

"PCSuiteTrayApplication"="C:\Programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]

"f0bd0392"="C:\WINDOWS\system32\klwqaftc.dll" [2008-07-06 14:59 89088]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 14:00 158208]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

"Nokia.PCSync"="C:\Programfiler\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

Hurtigstart for Adobe Reader.lnk - C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

Logitech Harmony Remote V5.lnk - C:\Programfiler\Logitech\Harmony Remote\HarmonyClient.exe [2005-07-26 11:35:56 94295]

Ralink Wireless Utility.lnk - C:\Programfiler\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe [2006-04-05 21:39:23 561152]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= "C:\WINDOWS\system32\bmpsap.dll" [2006-06-01 17:54 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KeybdUtility]

--a------ 2005-07-26 10:18 81920 C:\Programfiler\LG Software\On Screen Display\HotKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]

--a------ 2003-08-19 12:06 57344 C:\Programfiler\Lexmark X1100 Series\lxbkbmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LG Intelligent Update]

--a------ 2006-01-26 13:52 106496 C:\Programfiler\lg_swupdate\autoupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 12:34 5724184 C:\Programfiler\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-08-24 21:46 282624 C:\Programfiler\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2005-02-14 01:58 667740 C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2005-02-14 01:59 98396 C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2004-11-09 01:19 88358 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WMPNetworkSvc"=3 (0x3)

"WLSetupSvc"=3 (0x3)

"usnjsvc"=3 (0x3)

"Symantec RemoteAssist"=3 (0x3)

"Symantec Core LC"=2 (0x2)

"SPBBCSvc"=2 (0x2)

"SNDSrvc"=3 (0x3)

"ServiceLayer"=3 (0x3)

"SAVScan"=3 (0x3)

"NSCService"=3 (0x3)

"NPFMntor"=2 (0x2)

"navi"=2 (0x2)

"navapsvc"=2 (0x2)

"LiveUpdate Notice Service"=2 (0x2)

"LiveUpdate"=3 (0x3)

"LicCtrlService"=2 (0x2)

"IDriverT"=3 (0x3)

"ccSetMgr"=2 (0x2)

"ccEvtMgr"=2 (0x2)

"Automatisk LiveUpdate-schemaläggare"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programfiler\\Logitech\\Harmony Remote\\PatchHelper.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programfiler\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programfiler\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programfiler\\Internet Explorer\\iexplore.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2006-07-11 09:03]

S4 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2006-12-05 15:15]

.

- - - - ORPHANS REMOVED - - - -

BHO-{838A57F4-7F51-4C6D-937E-CCB826D59A1F} - (no file)

Toolbar-{8E1F6C9A-86C0-4811-B45A-278E754B457F} - (no file)

MSConfigStartUp-ccApp - C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe

MSConfigStartUp-NAV CfgWiz - C:\Programfiler\Norton AntiVirus\CfgWiz.exe

MSConfigStartUp-swg - C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-07 18:28:03

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\ctfaqwlk.ini 294 bytes

scan completed successfully

hidden files: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

"ImagePath"=""

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\system32\klwqaftc.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\Programfiler\Ahead\InCD\InCDsrv.exe

C:\Programfiler\Sygate\SPF\Smc.exe

C:\Programfiler\Alwil Software\Avast4\aswUpdSv.exe

C:\Programfiler\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\scardsvr.exe

C:\Programfiler\Alwil Software\Avast4\ashMaiSv.exe

C:\Programfiler\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Completion time: 2008-07-07 18:37:00 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-07 16:36:49

Pre-Run: 32,357,453,824 byte ledig

Post-Run: 32,316,559,360 byte ledig

188 --- E O F --- 2008-07-06 19:04:37

norbat · 7. juli 2008

Combofix er kanskje det beste programmet å bruke når man kan å bruke det.

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen.

File::

C:\WINDOWS\system32\ctfaqwlk.ini

C:\WINDOWS\system32\klwqaftc.dll

C:\WINDOWS\system32\saqgyagx.tmp

Folder::

C:\WINDOWS\privacy_danger(2)

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"f0bd0392"=-

Post ny combofix-logg.

Hvilket Antivirusprogram er det du bruker? Det virker som om det ligger 2 - Avast og Norton, på pc. Fjern det ene.

Endret 7. juli 2008 av norbat

perkforr · 7. juli 2008

Hvilket Antivirusprogram er det du bruker? Det virker som om det ligger 2 - Avast og Norton, på pc. Fjern det ene.

Jeg har avinstallert Norton og ccleaner for å fjerne restene. Men kjenner jeg norton rett så er det vanskelig å fjerne alt.

Her er resultatet av den siste combofix loggen:

ComboFix 08-07-05.1 - Familie 2008-07-07 22:35:35.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1044.18.121 [GMT 2:00]

Running from: C:\Documents and Settings\Familie\Skrivebord\ComboFix.exe

Command switches used :: C:\Documents and Settings\Familie\Skrivebord\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::

C:\WINDOWS\system32\ctfaqwlk.ini

C:\WINDOWS\system32\klwqaftc.dll

C:\WINDOWS\system32\saqgyagx.tmp

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\privacy_danger(2)

C:\WINDOWS\privacy_danger(2)\images(2)\capt.gif

C:\WINDOWS\privacy_danger(2)\images(2)\danger.jpg

C:\WINDOWS\privacy_danger(2)\images(2)\down.gif

C:\WINDOWS\privacy_danger(2)\images(2)\spacer.gif

C:\WINDOWS\privacy_danger(2)\index.htm