Avatar billede Kenz Praktikant
23. oktober 2010 - 03:20 Der er 18 kommentarer og
1 løsning

Psycho virus

Davdav.

Jeg har været så uheldig at få en virklig styg virus på min ene computer.

Jeg kan simpelthen ikke finde den nogle steder..

jeg har prøvet at køre en masse online scan's, og en masse antivirus programmer..

Bla. Norton, avast, avg, malwarebytes, spyware doctor, osv.

Virussen følger også med når jeg bruger det indbyggede erecovery, og nulstiller computeren til fabrikationsinstillingerne!!

Jeg har ikke kunnet se den i processer, eller lignende..

Virusen startede kun med at åbne reklamer i browseren.. efter nogle dage begyndte den pludslig at spille musik gennem mine højttalere, og lignende.. senere begynder computeren at gå amok, dvs. programmer svarer ikke, forskellige filer i windows mappen bliver slettet, så jeg oplever .dll fejl, og en masse.. den gør også et eller andet underligt, hvor at jeg ikke kan spille spillet ''minecraft'' mere, fordi at der nu er noget galt med grafikkortet eller lignende..
Den downloader nye virusser fra nettet, og ned på min computer, og tilsidst går computeren helt i lort.. sådan at den når jeg starter den op, nærmest fryser.. har prøvet at afslutte explorer.exe i joblisten, og starte den manuelt igen, og det virker også i nogle få minutter, og så fryser den igen..

har nu brugt erecovery 3 gange, og det har intet hjulpet!..

Her er min hijackthis log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 03:18:52, on 23-10-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\PC Tools Security\BDT\BDTUpdateService.exe
C:\Programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\PC Tools Security\pctsAuxs.exe
C:\Programmer\PC Tools Security\pctsSvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programmer\Fælles filer\Java\Java Update\jusched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\PC Tools Security\pctsGui.exe
C:\Programmer\PC Tools Security\BDT\FGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\igfxext.exe
C:\DOCUME~1\Kennie\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Windows Live\Contacts\wlcomm.exe
C:\Programmer\PC Tools Security\TFEngine\TFService.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\Programmer\Driver Checker\DriverChecker.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\AVG\AVG10\avgmfapx.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmer\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Kennie\Dokumenter\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0406&s=0&o=xph&d=1010&m=aoa150
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: PC Tools Browser Guard - {472734EA-242A-422b-ADF8-83D1E48CC825} - C:\Programmer\PC Tools Security\BDT\PCTBrowserDefender.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programmer\PC Tools Security\BDT\PCTBrowserDefender.dll
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\Documents and Settings\All Users\Application Data\Partner\partner.dll
O2 - BHO: Hjælp til tilmelding til Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\3.1.415.1646\swg.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmer\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programmer\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programmer\PC Tools Security\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmer\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /idle
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Fælles filer\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programmer\PC Tools Security\pctsGui.exe" /hideGUI
O4 - HKLM\..\Run: [PCTools FGuard] C:\Programmer\PC Tools Security\BDT\FGuard.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmer\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Kennie\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Programmer\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Browser Defender Update Service - Unknown owner - C:\Programmer\PC Tools Security\BDT\BDTUpdateService.exe
O23 - Service: Google Desktop-administrator 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Partner Service - Google Inc. - C:\Documents and Settings\All Users\Application Data\Partner\partner.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmer\PC Tools Security\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmer\PC Tools Security\pctsSvc.exe
O23 - Service: SiteAdvisor-tjeneste (SiteAdvisor Service) - Unknown owner - C:\Programmer\SiteAdvisor\6172\SAService.exe (file missing)
O23 - Service: ThreatFire - PC Tools - C:\Programmer\PC Tools Security\TFEngine\TFService.exe

--
End of file - 9985 bytes
Avatar billede 220661 Ekspert
23. oktober 2010 - 08:03 #1
Den der erecovery kører den kun fra harddisken, eller har du brændt det ud?
Når du installerer er det så UDEN internetforbindelse under forløbet?
Logs er jeg ikke så skrap til, og håber der er en der kigger forbi.
Avatar billede 220661 Ekspert
23. oktober 2010 - 08:17 #2
Suk!
O4 - HKCU\..\Run: [uTorrent] "C:\Programmer\uTorrent\uTorrent.exe"
23. oktober 2010 - 09:41 #3
Dvs uTorrent er med i "Factory Recovery" pakken ???

Eller har du selv manuelt instaleret uTorrent (samt en masse andet) straks INDEN
* WindowsUpdate 100% gennemført
* Seriøst sikkerhedsprogram

???

Ikke særligt smart!
http://www.spywarefri.dk/artikel/farerne-ved-fildeling/
http://www.spywarefri.dk/forum/viewthread/47308/

Såååå - det er en OMMER!
Og hold så fingrene væk fra P2P programmer og reslutater derfra !!!
Avatar billede 220661 Ekspert
23. oktober 2010 - 10:01 #4
Var også min tanke at den måske var blevet en del at recovery delen ja.
Kender ikke så meget til de logs, men denne burde ikke have været der.
23. oktober 2010 - 10:25 #5
Incl. denne
* Ask Toolbar ?
Avatar billede Kenz Praktikant
23. oktober 2010 - 17:16 #6
Hej igen..

Utorrent og ask toolbar er noget jeg har anskaffet mig efterfølgende.. det var ikke det jeg fik virussen af.. sorry..
23. oktober 2010 - 19:29 #7
Utorrent og ask toolbar er måske nogle programmer du elsker så meget, så de skal på med det samme FØR
* WindowsUpdate 100% gennemført
* Seriøst sikkerhedsprogram
???

En OMMER !!!

Og fingrene væk fra ovenstående !!!

---

PS: [Ask Toolbar] er ikke en 'virus' men et - efter min mening - total unyttigt værktøj/toolbar, som du har fået 'tilbudt'/instaleret et eller andet tidspunkt undervejs...
Avatar billede Kenz Praktikant
23. oktober 2010 - 21:15 #8
Hej igen.. Jeg tror i har misforstået hvad jeg mente.. ask toolbar er installeret ved en fejl.. og utorrent har jeg installeret med vilje.. MEN.. det er først for nylig at det er blevet installeret.. Har kørt windows update og alt det der før.. og så er der automatisk installeret McAffe antivirus på systemet, når jeg bruger erecovery.. noget der fulgte med.. men ved ikke om det ikke betræktes som et seriøst sikkerhedsprogram?
Avatar billede Kenz Praktikant
23. oktober 2010 - 21:19 #9
Men i bund og grund vil jeg nu bare høre om der er nogle af jer der via. min hijackthis log, kan se hvad virussen evt. kunne være?
Avatar billede f-arn Guru
23. oktober 2010 - 21:57 #10
Ud fra din beskrivelse, lyder det som et Whistler/Black Internet Bootkit. Det virker også som om der er andet, men HijackThis fortæller ikke rigtig noget.
23. oktober 2010 - 21:57 #11
...så er der automatisk installeret McAffe antivirus på systemet, når jeg bruger erecovery...
I #8 er første gang at [McAfee] er nævnt, incl HiJackThis loggen ???

Såååå - hvad mener du her ?

Og din WindowsUpdate er stadig ikke komplet (IE7 ???) ...
Avatar billede Kenz Praktikant
26. oktober 2010 - 02:45 #12
Så er svinet af vejen!

Det var rigtig nok et rootkit..

Navnet på det var trojan.hashish.3!

Tak for hjælpen!
Avatar billede Kenz Praktikant
26. oktober 2010 - 02:46 #13
F-arn, hvis du lige vil lave et svar, godkender jeg det lige!
26. oktober 2010 - 07:18 #14
#12 - hvad gjorde du så ?

#11 - Hvad så med dette [McAfee] ?

---

Som standard skal du ikke selv lægge [svar]; er 'reservret' til (til løsninger og pointgivning) ...
Avatar billede f-arn Guru
26. oktober 2010 - 23:47 #15
Jeg synes der sksl deles.
27. oktober 2010 - 06:56 #16
Ping...

* Oprydning med CCleaner
* Opret et FRISK SYSTEMGENDANNELSESPUNKT -> http://spywareinfo.dk/index.htm#/tip-og-tricks/opret_et_systemgendannelsespunkt.htm
* CCleaner - værktøjer - Systemgendannelse - Slet de gamle punkter
* Defragmentering
Avatar billede 220661 Ekspert
29. oktober 2010 - 13:50 #17
Hvordan løste du problemet?
Det er jo lige det, som dette forum skal bruges til, så andre kan få glæde af det.
Avatar billede Kenz Praktikant
29. oktober 2010 - 19:28 #18
Kørte en rootkit scanner kaldet ''Dr. Web Cure It'' Den fandt problemet med det samme stortset.. før da prøvede jeg også at køre blacklight, og nogle andre, uden held..

Men nu virker computeren perfekt.
Avatar billede 220661 Ekspert
29. oktober 2010 - 19:57 #19
Fint, og tak for tilbagemeldingen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester