[LØST] Trojan.Vundo / får ikke startet NAV i sikkerhetsmodus

31 innlegg i emnet

Skrevet

Hei! for noen dager siden ble laptoppen min infisert av viruset Trojan.Vundo. Norton Antivirus klarer ikke å fjerne dette, fordi det har opprettet seg som en systemfil. (den viser ikke under prosesser i oppgavebehandling, så jeg får ikke avslutten den)

Jeg har (både i normal- og sikkerhetsmodus) kjørt FixVundo (virusfix til Trojan.Vundo fra symantec.com), ad-aware og spybot, uten å i det hele tatt finne viruset. Bare Norton finner det.

Jeg burde såklart ha kjørt Norton Antivirus i sikkerhetsmodus, men det er vell her problemet oppstår. uansett hvilke antivirusfiler jeg prøver å opne i sikkerhetsmodus, så får jeg bare en feilmelding om at det har oppstått en feil i programmet. noen som vet hvorfor dette skjer? evt hvordan jeg kan fikse det?

håper noen har peiling :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Skal du klare å bli kvitt viruset kan du fjerne Norton Antivirus og legge inn Kasperksy antivirus. Ja, det er mye arbeid. Men jeg garanterer at du blir kvitt virus og da er det vel verdt strevet?

edit: Kaspersky antivirus har en prøveperiode på kun 30 dager så du kan jo fjerne det igjen og legge inn Norton hvis du allerede har betalt så.

Et bra tips til deg: Fjern administrator rettighetene på kontoen din og bruk en annen konto når du skal installere / konfigurere systemet ditt. Dette gjør maskinen litt verre å få infisert.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis det ikke fungerer med kaspersky antivirus, så kan du prøve AVG antivirus.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

AVG antivirus er ingenting i forhold til Kaspersky. Hvis ikke Kaspersky tar det så er det vel ingen som klarer det.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

AVG antivirus er ingenting i forhold til Kaspersky. Hvis ikke Kaspersky tar det så er det vel ingen som klarer det.

Hehe, så kaspersky er "antivirusenes ferarri"? :P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis du har fått infisert systemfiler kan du prøve å slå av systemgjennoppretting og så starte i sikkermodus for å kjøre et fullt disksøk med NAV.

71726.jpeg

Ikke bruk maskinen til andre ting mens NAV jobber.

HUSK Å SLÅ PÅ SYSTEMGJENNOPPRETTING ETTER AT PROBLEMET ER ORDNET!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg ville ha anbefalt sikkerhetsmodus med nettverk for så å kjørt Trendmicro Housecall som er en gratis onlinescanner, og en veldig god en sådan.. Mens du gjør dette, lar du PCen være helt ifred slik at du ikke risikerer å ødelegge mer.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

last ned ultimate boot cd

http://www.ultimatebootcd.com/index.html

og last ned oppdateringer til McAfee fra

ftp://ftp.nai.com/pub/datfiles/english/

åpne isoen, gå til dosapps, og mcafee, slett clean.dat, internet.dat, names.dat og scan.dat

legg til dat filene fra den oppdateringen du lastet ned, og brenn ut isoen.

Deretter booter du med cden, og gjør en scan

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Fikk samme virus for noen dager siden, har fått fjernet det ved å kjøre en rekke programmer.

Start pc-en i sikkermodus og kjør følgende programmer:

-VundoFix (dette er ikke fra Symantec Norton)

-SUPERAntiSpyware Trial (må bruke trial, ikke gratisversjon)

-XoftSpySE (desverre, må ha fullversjon for å fjerne, men programmet virker perfekt :) )

Husk å passe med å fjerne filer med alle programmene, men om du kommer til å gjøre samme feilen som meg (maskinen restartet ved oppstart av Windows XP) er det bare å starte pc-en i sikkermodus, Start>Alle Programmer>Tilbehør>Systemverktøy>Systemgjennoppretting.

Lykke til! :thumbup:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg burde såklart ha kjørt Norton Antivirus i sikkerhetsmodus, men det er vell her problemet oppstår. uansett hvilke antivirusfiler jeg prøver å opne i sikkerhetsmodus, så får jeg bare en feilmelding om at det har oppstått en feil i programmet.

Hvilken versjon har du? NAV eller NIS?

Har opplevd dette med 2006-versjonen, NIS. For å kjøre en scann i sikkermodus, åpne Norton. Du får en feilmelding om at programmet ikke kan kjøre, og trykker OK. Så får du et spørsmål om du vil kjøre en full systemskjekk. Gjør dette. Du kan også følge denne guiden:

Jeg vil anbefale deg å prøve en virussjekk og en spywaresjekk i følgende rekkefølge:

Dersom du har Windows XP kan en systemgjenoppretting etter at du har fjernet virusene føre til at du stiller tilbake maskinen til å være infisert igjen. Prøv først å fjerne virusene uten å deaktivere systemgjenoppretting.

Dersom du klarer å desinfisere maskinen stenger du av systemgjenoppretting, restarter og setter på systemgjenoppretting igjen. Dersom du ikke klarer å fjerne virus kan en systemgjenoppretting fungere, velg da et gjenopprettingspunkt hvor du VET du ikke var infisert.

All skanning etter virus og spyware skal du nå foreta i sikkermodus med nettverk.

Følg lenken dersom du ikke vet hvordan du starter i Sikkermodus med nettverk.

Foreta en virusskanning i nettleseren din med BitDefender. Dersom du finner virus starter du på nytt i sikkermodus med nettverk etter skanningen, og foretar en ny skanning.

Deretter tar du en spywaresjekk med Ewido Onlinescan. Dersom du finner spyware starter du på nytt i sikkermodus med nettverk etter skanningen, og foretar en ny skanning.

Så snart du har fått til å kjøre begge skannerne uten at de gir indikasjon på virus eller spyware er du ferdig med å skanne og skal starte maskinen i vanlig modus igjen.

Deretter kan du gå videre til å installere antivirusprogramvare og antispyware dersom du ikke har noe slikt fra før. Slike programmer finner du på oss.viztnd.com/secprog.shtml.

Les her dersom du ønsker informasjon om hva spyware er og hvordan du best mulig kan holde PC-en din ren for dette.

Les her dersom du ønsker lenker til informasjon om hva virus, trojanere og ormer er.

Når det gjelder sikkermodus skal du IKKE gjøre noe annet imens, dvs du skal ikke sitte og surfe her eller andre steder. Dette fordi du da kan starte spionprogrammene eller virusene manuelt.

Ovenstående svar med virus og spywaresjekk er basert på en utvidelse for Firefox som henter hurtigsvar på enkelte gjentagende spørsmål. Svarene hentes fra http://hurtigsvar.viztnd.com og utvidelsen til Firefox kan hentes fra www.home.no/apepost for de som ønsker det.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

jeg fikk et tips om å fjerne NAV og legge inn NOD32. Dette programmet fannt mange virus som NAV hadde oversett, og fikk fjernet dem alle. sliter litt med vundoen fortsatt, men skal prøve den andre fixen som jeg fikk tips om ;)

last ned ultimate boot cd

http://www.ultimatebootcd.com/index.html

og last ned oppdateringer til McAfee fra

ftp://ftp.nai.com/pub/datfiles/english/

åpne isoen, gå til dosapps, og mcafee, slett clean.dat, internet.dat, names.dat og scan.dat

legg til dat filene fra den oppdateringen du lastet ned, og brenn ut isoen.

Deretter booter du med cden, og gjør en scan

Hvorfor er det bedre å scanne når jeg booter denne, enn i sikkerhetsmodus?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Post gjerne en Hijackthis-logg, så kan vi se hva som bør gjøres for å få en spywarefri pc. :)

(Last ned programmet, pakk det ut i en egen mappe på skriveborder. start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og limer inn i posten din.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Post gjerne en Hijackthis-logg, så kan vi se hva som bør gjøres for å få en spywarefri pc. :)

(Last ned programmet, pakk det ut i en egen mappe på skriveborder. start programmet, velg "Do a system scan and save a logfile". Loggfilen kopierer du og limer inn i posten din.

her kommer loggen:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 16:09:25, on 07.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Programfiler\ASUS\ASUS Live Update\ALU.exe

C:\Programfiler\Wireless Console 2\wcourier.exe

C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

C:\Programfiler\ASUSTeK\ASUSDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe

C:\Programfiler\ASUS\Power4 Gear\BatteryLife.exe

C:\Documents and Settings\All Users\Programdata\ypwfkzup.exe

C:\Programfiler\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Programfiler\Internet Explorer\IEXPLORE.EXE

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Humbå\Skrivebord\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.92.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {079C0A02-F366-437F-ADE5-8746C7E008D1} - C:\WINDOWS\system32\sstqp.dll (file missing)

O2 - BHO: (no name) - {92A444D2-F945-4dd9-89A1-896A6C2D8D22} - (no file)

O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programfiler\Video ActiveX Object\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [ASUS Live Update] C:\Programfiler\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [Wireless Console 2] C:\Programfiler\Wireless Console 2\wcourier.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd

O4 - HKLM\..\Run: [RemoteControl] C:\Programfiler\ASUSTeK\ASUSDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Programfiler\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [ypwfkzup.exe] C:\Documents and Settings\All Users\Programdata\ypwfkzup.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\lsxbmain.dll",realset

O4 - HKLM\..\Run: [j0281630] rundll32 C:\WINDOWS\system32\j0281630.dll sook

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] c:\Programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Programfiler\Video ActiveX Object\pmsngr.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O20 - Winlogon Notify: winyme32 - winyme32.dll (file missing)

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

håper dere kan få noe nyttig utifra dette ;)

men tror dere windows firewall og NOD32, samt flittig bruk av adaware SE personal og Spybot, vil vere nok til å holde maskinen beskyttet? :)

takk for all hjelp hittil!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor er det bedre å scanne når jeg booter denne, enn i sikkerhetsmodus?
Fordi at noen virus kan faktisk klare å tøyse med Windows selv i sikkerhetsmodus. Men hvis du booter fra en CD uten å starte Windows, derfor vil ingenting som har infisert Windows ha noe å si når du booter med LiveCD. Du kan tilogmed laste ned Ubuntu på LiveCD å skanne derifra. (Det var mest et eksempel for å illustrere poenget. Det blir mye jobb, pluss at antivirusene du får til Linux, som kan skanne Windows, ikke er helt sikkert at vil finne viruset.)

For å fjerne viruset, se "LoPhatPhuud" sitt svar(nummer 2.) her: http://gladiator-antivirus.com/forum/lofiv...php/t29392.html

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Når det gjelder å postere logger fra Hijack This er det de ferreste som har kunnskaper om hvilke prosesser som er trygge eller ikke.

Derfor kan du heller gå til en nettside som har en automatisk logganalyse funksjonalitet;

http://www.hijackthis.de/

tok loggen din gjennom denne,( du kan gjøre det samme hos deg) og fikk frem da en liste som beskrev komponentene som var listet. De fleste var merket "safe"; men analyseverktøyet slo ut på følgende;

O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Programfiler\Video ActiveX Object\pmsngr.exe

Fuzzy Algorithmcheck (2.19 / 5.00), Nasty

og

O4 - HKLM\..\Run: [ypwfkzup.exe] C:\Documents and Settings\All Users\Programdata\ypwfkzup.exe

It seems that the name of this program is the same as the name of the file. In the most cases this is the result of trojans. To be sure, you should check this file

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Sørg for at du kan se skjulte filer og mapper:

Kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper"

Gå til nettstedet: http://virusscan.jotti.org/ og sjekk følgende filer:

C:\WINDOWS\system32\lsxbmain.dll

C:\WINDOWS\system32\j0281630.dll

Hvis du får tilbakemelding om at det er funnet noe knyttet til disse to filene, fixer du disse to linjene med HJT også (se rød tekst)

Kjør HJT, sett merke framfor følgende linjer og klikk 'fix checked':

O2 - BHO: (no name) - {079C0A02-F366-437F-ADE5-8746C7E008D1} - C:\WINDOWS\system32\sstqp.dll (file missing)

O2 - BHO: (no name) - {92A444D2-F945-4dd9-89A1-896A6C2D8D22} - (no file)

O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Programfiler\Video ActiveX Object\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [ypwfkzup.exe] C:\Documents and Settings\All Users\Programdata\ypwfkzup.exe

O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Programfiler\Video ActiveX Object\pmsngr.exe

O20 - Winlogon Notify: winyme32 - winyme32.dll (file missing)

O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\lsxbmain.dll",realset

O4 - HKLM\..\Run: [j0281630] rundll32 C:\WINDOWS\system32\j0281630.dll sook

Hent Avenger og pakk det ut.

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under (inkl. det røde om jotti fant noe):

Files to delete:

C:\Documents and Settings\All Users\Programdata\ypwfkzup.exe

C:\Programfiler\Video ActiveX Object\pmsngr.exe

C:\WINDOWS\system32\lsxbmain.dll

C:\WINDOWS\system32\j0281630.dll

Folders to delete:

C:\Programfiler\Video ActiveX Object

Klikk på Trafikklyset. Restart pc'n.

Etter restart vil det komme en loggfil som forteller hva som har skjedd. Du trenger ikke å poste den.

Last ned SAS, installer og oppdater. Kjør en full scan.

Post SAS-loggen (preferences->statistics/logs) + en ny HJT-logg

(PS! Hvis du mener at du har fått løst saken, så trenger du ikke å kjøre gjennom veiledningen, men ut fra HJT-logg som du har postet, har du fortsatt infeksjonen i behold :) )

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor skal en ta på show hidden files and folders ? hidden er jo kun en egenskap på en fil som kan settes med attrib

Når du tar på vis skjulte filer vil windows utforsker også viser filer

med hidden atributten på. Settingen endrer ikke noe på atributtene på selve filene, har heller ingenting med rettigheter å gjøre, og påvirker ikke et scanner program.

En scanner må derfor kunne scanne filer uavhengig av hidden atributten.

Og når det gjelder alle de tjenestene du anbefaler han å slette, hvordan vet du hva som er skadelig og kan slettes ? Går ut fra at du har noen kilder fra andre forum du forholder deg til. Kan du postere disse ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hadde vel håpet at slike spm. kunne tas på PM e.l. da det bør være unødvendig at man hijacker en annens tråd.

Ang. filene som skal bort: Du kunne ha tatt deg bryet med ex. å 'google' el. 'yahooe'. Si i fra så skal jeg se om jeg kan gjøre det for deg. ;)

Ang. det å 'Vise skjulte filer og mapper': Ja, hvorfor i all verden skal man trenge å aktivere denne funksjonen (eller, kanskje det kan være lurt å la filene bli synlige om man ønsker å se dem hvis man f.ex. skal laste dem opp for en sjekk som var hensikten i dette tilfellet eller slette dem manuelt, for den saks skyld))

Andre spm. får tas over PM, så slipper trådstarter å få tråden ødelagt av andres diskusjoner.

På forhånd takk.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Er veldig enkelt å se om folk har peiling på det de skriver om eller ikke.Spesiellt når en konsekvent unngår å komme med kildehenvisninger og ikke minst, aldri kommer med en teknisk beskrivelse av et problem men bare hvordan en kan løse problemet.

Nå vet jeg ikke hva dere gjør på diskusjon.no, men å legge ved relevant dokumentasjon for det en skriver er viktig. Kun slik kan en bekrefte/avkrefte påstander, og ikke minst lære om det temaet vi behandler.

Videre, kilder er også god kikk og bruk og på den måten unngår vi at noen stjeler materiale fra andre forum, og legger dem ut som sine tanker og ideer.

Utalelser som

Ang. filene som skal bort: Du kunne ha tatt deg bryet med ex. å 'google' el. 'yahooe'. Si i fra så skal jeg se om jeg kan gjøre det for deg

bekrefter jo akkurat dette, og ikke minst prøver du å være morsom på andres bekostning. Jeg bryr meg ikke, men får ikke noe seriøst inntrykk av deg.

Og er du så høy teknisk kompetanse som du fremtsiller, så burde det ikke by på store problemer om kommer med en teknisk forklaring for de rådene du gir.

kan sitere fra en annen side;

http://forums.maddoktor2.com/index.php?showtopic=963

I've noticed several instances lately where unregistered guests and registered members (ones designated as Members, not Experts or above) posting advice to those who place a HJT log asking for assistance.

I must caution those people who are asking for help with their logs to refrain from taking advice from those people. Although they may know what they are doing, because none of us REALLY know whether or not they are qualified to give such advice, it is best to wait for a response from an Expert or another qualified forum member whose credentials are already established. This kind of situation can lead to more problems or worse. Your willingness to help is very much appreciated, although, it can get confusing when a qualified helper is giving advice, then someone, otherwise unknown, pops in.

I invite all unregistered guests and those regular members who feel they DO have the qualifications to give advice, to ask for inclusion in ASAP, stating your qualifications and reasons why you should be accepted. Heaven knows, we need all the help we can get. Post your request here: http://forums.maddoktor2.com/index.php?showtopic=5884

If you don't feel you have the qualifications, but want to learn to analyze logs and be able to help, join classes or Boot Camps at some of the forums that offer these:

SpwareInfo http://forums.spywareinfo.com/index.php?showtopic=34

Tom Coyote: http://tomcoyote.com/classroom/

Malware Removal University

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Humbå: Beklager at tråden din har blitt ødelagt av andres (meg inkl) diskusjoner, men håper du får jobbet fram en spywarefri pc'n.

exchange: Jeg kjenner ikke deg og vet overhode ikke hva du besitter av verken formell eller uformell kompetanse. Du er sikkert en hyggelig kar, men må ærlig innrømme at det virker som om du på en eller annen måte føler deg forulempet på en eller annen måte. Om jeg har sakt eller gjort noe som virker fornærmende, så beklager jeg dette.

Det med google etc. var imidlertid nevnt uten noen form for humor (kun med et lite glimt i øyet). Google gjerne på filene, så vil du nesten garantert finne de forumene etc. som du etterspør. Og om svaret mitt om 'Vis skjulte filer og mapper' var utydelig, så ønsker jeg gjerne en tilbakemelding på det. Jeg svarte på et konkret spm. fra deg. Virket svaret akseptabelt?

Når det gjelder teknisk beskrivelse, så må jeg nesten si, at jeg tilhører nok praktikerne framfor teoretikerne :) (og hva skal trådstarter med en teknisk utredning? Det bør vel holde at vedkommende kan få en veiledning på hvordan han kan gå fram? Hvilken høy teknisk kompetanse er det du egentlig klarer å lese ut av innlegget mitt??)

Og hva mener du egentlig med å trekke inn ASAP og de uttalelsene derfra?

Uansett, vi får håpe trådstarter får løst spyware-problemet sitt, så får vi heller stå sammen der det er mulig framfor å bjeffe til hverandre.

mvh

n

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

hehe, det får greit det gutter :) sitter klart til å fikse filene med hijackthis nå, må bare lage et gjenopprettingspunkt først i tilfelle. er litt spennende! håper jeg får fjernet all driten..

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nå har jeg gjort det du sa norbat, og har ny HJT-logg og SAS logg :)

her er de:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 06/07/2007 at 11:34 PM

Application Version : 3.8.1002

Core Rules Database Version : 3250

Trace Rules Database Version: 1261

Scan type : Complete Scan

Total Scan Time : 00:25:19

Memory items scanned : 445

Memory threats detected : 0

Registry items scanned : 4276

Registry threats detected : 16

File items scanned : 29482

File threats detected : 33

Trojan.Media-Codec

HKLM\Software\Classes\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\Implemented Categories

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\Implemented Categories\{00021493-0000-0000-C000-000000000046}

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\InprocServer32

HKCR\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}\InprocServer32#ThreadingModel

C:\PROGRAMFILER\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006#DisplayName

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006#UninstallString

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On#DisplayName

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On#UninstallString

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03#DisplayName

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03#UninstallString

Adware.Tracking Cookie

C:\Documents and Settings\Humbå\Cookies\humbå@doubleclick[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@cpvfeed[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@cgi-bin[5].txt

C:\Documents and Settings\Humbå\Cookies\humbå@stat.katalysatormedia[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@carasexe[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@cgi-bin[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@adtech[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@f[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@ads.vg.basefarm[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@adultadworld[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@ad1.hardware[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@sextv1[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@www.2adultflashgames[1].txt

C:\Documents and Settings\Humbå\Cookies\humbå@ad.zanox[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@cz3.clickzs[2].txt

C:\Documents and Settings\Humbå\Cookies\humbå@ads.greteroede[1].txt

Trojan.Security Toolbar

C:\Documents and Settings\All Users\Start-meny\Online Security Guide.url

C:\Documents and Settings\All Users\Start-meny\Security Troubleshooting.url

Trojan.Downloader-Gen/SwampDonk

C:\VUNDOFIX BACKUPS\GEBXWUT.DLL.BAD

C:\VUNDOFIX BACKUPS\KHFCBBC.DLL.BAD

C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA7A06D-55E5-4050-A689-F56B3CD2D428}\RP2\A0001081.DLL

C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA7A06D-55E5-4050-A689-F56B3CD2D428}\RP2\A0001098.DLL

C:\SYSTEM VOLUME INFORMATION\_RESTORE{2DA7A06D-55E5-4050-A689-F56B3CD2D428}\RP2\A0001099.DLL

Trojan.Unknown Origin

C:\WINDOWS\TEMP\WIN158.TMP.EXE

Trojan.Net-Panama/PHIL

C:\WINDOWS\TEMP\WIN171.TMP.EXE

C:\DOCUMENTS AND SETTINGS\ALL USERS\PROGRAMDATA\YPWFKZUP.EXE

C:\WINDOWS\Prefetch\YPWFKZUP.EXE-0BE6DE29.pf

Trojan.Downloader-SpyTool

C:\DOCUMENTS AND SETTINGS\HUMBå\LOKALE INNSTILLINGER\TEMP\NWIEEYPO.DLL

Trace.Known Threat Sources

C:\Documents and Settings\Humbå\Lokale innstillinger\Temporary Internet Files\Content.IE5\8HEFKLIN\BrandDetection[1].js

C:\Documents and Settings\Humbå\Lokale innstillinger\Temporary Internet Files\Content.IE5\KPQROTUJ\Layout[1].js

C:\Documents and Settings\Humbå\Lokale innstillinger\Temporary Internet Files\Content.IE5\CPQ301YN\DetectEnvironment[1].js

C:\Documents and Settings\Humbå\Lokale innstillinger\Temporary Internet Files\Content.IE5\1VX39YN5\gecv2[1].js

_/__/_/_/_/_/_/_/_/_/_/_/_/_/_/_

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 23:45:45, on 07.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Programfiler\ASUS\ASUS Live Update\ALU.exe

C:\Programfiler\Wireless Console 2\wcourier.exe

C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

C:\Programfiler\ASUSTeK\ASUSDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe

C:\Programfiler\ASUS\Power4 Gear\BatteryLife.exe

C:\Programfiler\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\MSN Messenger\MsnMsgr.Exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe

C:\Programfiler\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\Humbå\Skrivebord\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.92.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [ASUS Live Update] C:\Programfiler\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [Wireless Console 2] C:\Programfiler\Wireless Console 2\wcourier.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd

O4 - HKLM\..\Run: [RemoteControl] C:\Programfiler\ASUSTeK\ASUSDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Programfiler\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] c:\Programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 5221 bytes

tror jeg har fått fjernet en del hvertfall? ;p

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

HJT-loggen din er ren :thumbup:

Du bør oppdatere JAVA: http://java.com/en/download/index.jsp

Tøm temp-filer etc.:

Last ned CCleaner.

Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer......." Klikk på 'Renser' og deretter 'Kjør CCleaner'.

Du bør nullstille gjenopprettingsmappa slik at du ikke blir infisert ved en evt. systemgjenoppretting.

Kontrollpanel->system->systemgjenoppretting .

Sett merke framfor "Slå av Systemgjenopprettingen .....",

restart pc,

fjern merket igjen for å aktivere funksjonen.

Hvordan kjører pc'n forøvrig?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Den kjører fintfint :) tror den bjynder å bli tom for dritt nå. merket størst forskjell etter jeg fikk kjørt Fixvundo (den som ikke var fra symantec). takk for det tipset BjørnaR! har også fått fjernet MASSE spyware etc. Å der bør du få en stor del av æren norbat:) jeg tror jeg beholder SAS for å overvåke jeg, i tillegg til NOD32 og windows brannmuren. høres ikke det fint ut? :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk,

BjørnarR's Vundofix er den man gjerne kjører i første omgang ved Vundo-infeksjoner (selv om SAS har blitt meget god på Vundoinfeksjoner - ja, kanskje det har mulighet for å fjerne det like godt).

Ellers beklager jeg at tråden din ble noe ødelagt av det tullet tidligere. Exchange peker imidlertid på en viktig ting i det engelske klippet, det med at

"I must caution those people who are asking for help with their logs to refrain from taking advice from those people (tenker antakelig på meg?). Although they may know what they are doing, because none of us REALLY know whether or not they are qualified to give such advice"

"I invite all unregistered guests and those regular members who feel they DO have the qualifications to give advice, to ask for inclusion in ASAP, stating your qualifications and reasons why you should be accepted"

Kan berolige deg med at jeg er en del (medlem) av ASAP, og har derfor ingen intensjon om å lede deg på ville veier :thumbup:

Ps. Free editon av SAS, har ikke real time protection, så den må du 'scanne' manuelt med av og til. Hvis du ikke ønsker at SAS skal start opp sammen med Windows, kan du slå av dette i kontrollsenteret.

Edit: Hvis NOD32 har egen brannmur, kan du slå av windows sin (hvis den ikke allerede er blitt gjort det av NOD32)

Edit 2: Hvis du ikke bruker pokerprogrammet (Unibet) eller ønsker å ha det lengre, kan du se om du får avinstallert det fra legg til/fjern programmer (Se etter noe med poker, unibet, microgaming). Hvis ikke, sletter du hele mappa c:\microgaming)

Ta og skjul filer og mapper igjen også, slik at du ikke ved et uhell sletter viktige filer. :)

Surf trygt!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive