[LØST] Trojan - noen tips?

21 innlegg i emnet

Skrevet

Hei.

Min bror lånte PCen min en kveld og klarte selvfølgelig å få den infisert av en trojan da han skulle laste ned noe fra Limewire. Jeg får nå advarsel om at følgende trojan er å finne på alle mine harddisker:

Filnavn: G:\autorun.inf

Malware-navn: INF:Autorun-F [Trj]

Malware-type: Trojansk hest

Jeg prøvde en løsning som jeg fant på et engelsk forum. Denne bestod av å scanne med følgende programmer både i- og utenfor sikkerhetsmodus, alle porgrammene er selvfølgelig oppdatert.

- CrapCleaner

- Spybot S&D

- AdAware SE

- AVG Anti-Spyware

Løsningen finner dere her: http://www.suggestafix.com/index.php?showtopic=28174

Denne virket ikke, da Avast framdeles gir advarsler om viruset. Dermed har verken Avast eller noen av programmene over klart å fjerne trojanen. Jeg tenkte også at jeg skulle prøve standardsvaret som er blitt gitt her på forumet ved en virusinfisering.

Videre tenkte jeg litt. Denne trojanen har fått herje fritt på min PC siden lørdag 08.12, da jeg ikke har hatt tid eller anledning til å prøve å fjerne den igjen. Er det muligheter for at den har skadet systemet mitt på en slik måte at å få fjernet den framdeles vil resultere i at systemet er skadet på en eller annen måte? Jeg merket f.eks en dag at jeg ikke fikk tilgang til harddiskene mine via Min Datamaskin, og måtte gå igjennom Explorer for å få tilgang, er dette noe som kan oppstå, selv om trojanen er fjernet?

Jeg lurer også på om noen har noen spenstige tips til fjerning av denne trojanen (standardsvaret kan jeg være foruten) og/eller noen linker som sier hva den gjør med PCen.

Spørsmål:

Kan dette ha skadet systemet på en varig måte, selv om trojanen blir fjernet?

Har noen tips til fjerning av denne trojanen?

Er det noen som vet eller har linker til hva denne trojanen gjør?

Kan systemgjennoppretting være en løsning dersom jeg ikke får fjernet den?

Takker for innspill :thumbup:

Last ned: hijackthis.log

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du kan jo også prøve å slette MSN fra kontrollpanel, og så last ned og installere følgende:

CrapCleaner

SpyBot

Ad-Aware

Avast

Husk å oppdatere programmene også før du scanner.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Trojanen er ikke kommet fra MSN, men fra en nedlasting på Limewire, og som du ser i det første svaret mitt har jeg allerede prøvd de programmene.

Takker for svar :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

beste tipse er vel å formater og reinstall os ditt. så slipper du å tenke på det noe mer. :thumbs:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Oi, glemte å fjerne det med MSN. (Kopierte fra en annen tråd jeg skrev i)

Hva er G:? En partsjon, DVD-ROM?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Som sagt er dette en harddisk. Jeg får advarsel om at trojanen finnes i filbanen (G:\autorun.inf) på alle harddiskene mine.

Formatering er det jeg helst vil unngå.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Fjern O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe med hijackthis

Hvis ikke det går, forsøk i sikkermodus.

amvo.exe er virus/spyware .

http://www.google.com/search?hl=no&cli...%C3%B8k&lr=

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ville ikke fjernet noe som helst, før du er sikker på at det er virus. Men ja, amvo.exe og avpo.exe bør sjekkes...

Den ligger her: C:\WINDOWS\system32\amvo.exe, det samme med avpo.exe

Sjekk disse med Jotti Online Malwarescan.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da var amvo.exe og avpo.exe slettet etter å ha sjekket filene. Verken Avast eller AVG Anti-Spyware melder nå ifra om trojanen, men jeg poster en hijackthis-logg til for å forsikre meg om at alt ser ok ut.

Last ned: hijackthis2.log

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Loggen er ren, etter hva jeg kan se.. :) Får du beskjed om trojan fra Avast enda?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei, da ser det ut til at alt fungerer som det skal. Takker for hjelpen.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Men kjør og post gjerne combofix-loggen, så du er sikker på at det ikke ligger en trigger en eller annen plass på systemet ditt. Denne loggen viser noen områder som hjt ikke viser.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da har jeg kjørt combofix, loggen finnes her.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Prioriter dette nå, Stian. Du er en fare for deg selv og andre så lenge det lusker infiserte filer i systemet ditt. :)

Hent Avenger og pakk det ut.

Start programmet, sett prikk i "Input Script Manually" og klikk på lupen.

I vinduet som kommer opp kopierer du og limer inn det som er i fet skrift under:

Files to delete:

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\avpo0.dll

C:\WINDOWS\system32\avpo1.dll

C:\WINDOWS\system32\amvo1.dll

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\avpo.exe

C:\n1deiect.com

C:\ntde1ect.com

C:\nideiect.com

Registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{423eca82-8e20-11dc-97cf-00173165a818}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b09162f9-f681-11db-96ba-00173165a818}

Klikk på Trafikklyset. Restart pc'n.

Etter restart vil det komme en loggfil som forteller hva som har skjedd. Du trenger ikke å poste den. Edit: Jo, forresten, post denne loggen.

Hvis du har brukt noen eksterne lagringsmedier, bør du sjekke ut disse også da denne trojaneren sprer seg til slike (minnepenner etc...)

Kjør deretter en onlinescan med Kaspersky onlinescanner. Det lages en logg du kan poste.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Gjorde akkurat som du beskrev over, men mottok en rekke feilmeldinger når jeg trykket på trafikklyset:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////


Fatal error:  could not create new script file.

Error code: 0

Error logged to errorlog.txt.  Aborting now!
---------------------------

Error

---------------------------

Syntax error in line --- does not appear to be a valid registry path.  Line will be ignored.

---------------------------

OK   

---------------------------


---------------------------

Error

---------------------------

Press OK to log error and continue or Cancel to abort.

---------------------------

OK   Avbryt   

---------------------------


---------------------------

Error

---------------------------



Error code: 0


Line: 

---------------------------

OK   

---------------------------


---------------------------

Error

---------------------------

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{423eca82-8e20-11dc-97cf-00173165a818}



---------------------------

OK   

---------------------------


---------------------------

Error

---------------------------



Error code: 0


Line: 

---------------------------

OK   

---------------------------

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vi prøver stykkevis og delt:

Åpne notisblokk og kopier inn teksten i fet. Lagre fila som regfix.reg og legg den på skrivebordet. Dobbeltklikk på fila og si ja til å legge til info'n:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{423eca82-8e20-11dc-97cf-00173165a818}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b09162f9-f681-11db-96ba-00173165a818}]

Kjør Avenger igjen og kopier inn følgende (se veiledningen for avenger i en tidligere post)

Files to delete:

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\avpo0.dll

C:\WINDOWS\system32\avpo1.dll

C:\WINDOWS\system32\amvo1.dll

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\avpo.exe

C:\n1deiect.com

C:\ntde1ect.com

C:\nideiect.com

Får du noen feilmeldinger, er det bare å fortsette med Kaspersky. Trenger da også en ny logg fra Combofix. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Avenger:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////


Error:  could not create zip file.

Error code: 0



//////////////////////////////////////////



Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\unwvkixg


*******************


Script file located at: \??\C:\nqqqbwcp.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\WINDOWS\system32\amvo0.dll deleted successfully.

File C:\WINDOWS\system32\avpo0.dll deleted successfully.

File C:\WINDOWS\system32\avpo1.dll deleted successfully.

File C:\WINDOWS\system32\amvo1.dll deleted successfully.

File C:\WINDOWS\system32\amvo.exe deleted successfully.

File C:\WINDOWS\system32\avpo.exe deleted successfully.

File C:\n1deiect.com deleted successfully.

File C:\ntde1ect.com deleted successfully.

File C:\nideiect.com deleted successfully.


Completed script processing.


*******************


Finished!  Terminate.//////////////////////////////////////////



Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\gbhqbqln


*******************


Script file located at: soeelsqa


Could not open script file!  Error


Could not open script file!  Status: 0xc000003b  Abort!

Mottar enda en gang feilmeldinger, denne gangen i Kaspersky: Attention, you must be online to activate Kaspersky Online Scanner, since the latest Anti-Virus bases version must be downloaded prior to scan. Otherwise we cannot guarantee detection of latest viruses. [21]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Bruker du IE? Hvis, blir scanneren initialisert, men stopper ved nedlasting av databasen?

Uansett, kjør Combofix på nytt og la oss se om det ligger noe mer iflg. den loggen. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvordan går det med pc'n?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive