Avatar billede winde Novice
06. august 2012 - 18:48 Der er 14 kommentarer og
1 løsning

Microsoft security Essential kan ikke slette win32/sirefef virus

Hej
hvordan kommer jeg af med følgende Trojan:
win32/Sirefef.AN
win32/Sirefef.AG
win32/Sirefef.AO

jeg har Microsoft security Essential installeret.
Programmet scanner men kan ikke slette de fundne elementer.

Håber på hjælp
Avatar billede 220661 Ekspert
06. august 2012 - 19:26 #1
Har du prøvet at scanne med andre programmer?
Online scannere?

Det ligner desværre noget rootkit vil jeg tro
Avatar billede r3cor Nybegynder
06. august 2012 - 19:33 #2
Du kan prøve at køre http://www.safer-networking.org/dl/ og se om den kan finde trojanen, den skulle meget gerne have noget anti-rootkit
Avatar billede winde Novice
06. august 2012 - 19:41 #3
hej
jeg har ikke scannet med andre programmer, er lidt i tvivl om hvad jeg skal bruge. Nu prøver jeg
http://www.safer-networking.org/ (...)
Avatar billede 220661 Ekspert
06. august 2012 - 19:51 #4
Vil også tro denne kan finde dem, men om den fjerner det hele og det er helt væk er jeg ikke 100% sikker på:

Hent Malwarebytes Anti-Malware herfra:
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen. Kopier loggen herind.
Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."
Avatar billede 220661 Ekspert
06. august 2012 - 20:24 #5
Andre scannere:
http://www.techsupportalert.com/best-free-rootkit-scanner-remover.htm
Har kun brugt TDDSKIller fra denne side.
Avatar billede winde Novice
06. august 2012 - 20:37 #6
Hej 220661
Malwarebytes Anti-Malware (Prøveversion) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.08.06.11

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Kim Winde :: WINDE-NO383KFCI [administrator]

Beskyttelse: Slået til

06-08-2012 20:26:46
mbam-log-2012-08-06 (20-33-02).txt

Skanningstype: Flash skanning
Skanningsmuligheder valgt: Hukommelse | Opstart | Heuristics/Ekstra | Heuristics/Shuriken | PUP | PUM
Skanningsmuligheder som er deaktiverede: Registreringsdatabasen | Filsystem | P2P
Objekter skannet: 173117
Tid gået: 1 minut(ter), 51 sekund(er)

Hukommelses Processorer Inficeret: 0
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret: 19
HKCR\MenuButtonIE.ButtonIE (Adware.ClickPotato) -> Ingen handling valgt.
HKCR\MenuButtonIE.ButtonIE.1 (Adware.ClickPotato) -> Ingen handling valgt.
HKCR\ShoppingReport2.HbAx (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.HbAx.1 (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.HbInfoBand.1 (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.IEButton (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.IEButton.1 (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.IEButtonA.1 (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\ShoppingReport2.RprtCtrl.1 (Adware.ShopperReports) -> Ingen handling valgt.
HKCR\AppID\MenuButtonIE.DLL (Adware.ClickPotato) -> Ingen handling valgt.
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Ingen handling valgt.
HKCU\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Ingen handling valgt.
HKLM\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Ingen handling valgt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> Ingen handling valgt.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\QUESTSCAN (Adware.QuestScan) -> Ingen handling valgt.
HKLM\SOFTWARE\QUESTSCAN (Adware.QuestScan) -> Ingen handling valgt.

Registreringsdatabaseværdier Inficeret: 3
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Data: C:\Documents and Settings\Kim Winde\Lokale indstillinger\Application Data\{920ceb96-8e1d-7045-bcae-bd4b9e27608f}\n. -> Ingen handling valgt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuestScan|DisplayName (Adware.QuestScan) -> Data: QuestScan 1.0 build 192 -> Ingen handling valgt.
HKLM\SOFTWARE\QuestScan|DllPath (Adware.QuestScan) -> Data: C:\Programmer\QuestScan\questscan.dll -> Ingen handling valgt.

Registreringsdatabasedata Objekter Inficeret: 0
(Ingen skadelige objekter blev fundet)

Inficerede Mapper: 10
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2 (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\db (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\dwld (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\report (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\res1 (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Programmer\ShoppingReport2 (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Programmer\ShoppingReport2\Bin (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Programmer\ShoppingReport2\Bin\2.7.34 (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Programmer\ShoppingReport2\Bin\2.7.37 (Adware.ShoppingReport2) -> Ingen handling valgt.

Inficerede Filer: 8
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\Config.xml (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\db\Aliases.dbs (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\db\Sites.dbs (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\dwld\WhiteList.xip (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\report\aggr_storage.xml (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\report\send_storage.xml (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Documents and Settings\Kim Winde\Application Data\ShoppingReport2\cs\res1\WhiteList.dbs (Adware.ShoppingReport2) -> Ingen handling valgt.
C:\Programmer\ShoppingReport2\Uninst.exe (Adware.ShoppingReport2) -> Ingen handling valgt.

(færdig)
Avatar billede chazeftw Nybegynder
06. august 2012 - 21:09 #7
Spybot search and destroy skal nok finde det.. Har selv haft problemer med at avast ikke kan finde det, men det kan spybot næsten altid.

Du kan hente det her:
http://www.safer-networking.org/personal/free-download/
Avatar billede 220661 Ekspert
07. august 2012 - 07:13 #8
#6 Du har gjort noget forkert, da du har kørt en "flash scanning", der kun scanner i hukommelsen.
Du skal som minimum køre en "quick scan"
Og samtidigt har du ikke valgt at fjerne det den finder "ingen handling valgt".
Prikken skal flyttes til "fjern det valgte".
Avatar billede 220661 Ekspert
07. august 2012 - 08:56 #9
#7 Jeg ville ikke være 100% sikker på dit svar.
En rootkit kan være en slem fætter at fjerne.
Avatar billede winde Novice
07. august 2012 - 21:03 #10
Hej med jer
Jeg har nu scannet og slettet med Malwarebytes Anti-Malware op
til flere gange, og den har fundet noget hver gang.
Her er sidste log - kan 220661 læse noget ud af den


Malwarebytes Anti-Malware (PRO) 1.62.0.1300
www.malwarebytes.org

Database version: v2012.08.07.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Kim Winde :: WINDE-NO383KFCI [administrator]

Beskyttelse: Slået til

07-08-2012 15:02:14
mbam-log-2012-08-07 (19-21-22).txt

Skanningstype: Fuldstændig skanning (C:\|)
Skanningsmuligheder valgt: Hukommelse | Opstart | Registreringsdatabasen | Filsystem | Heuristics/Ekstra | Heuristics/Shuriken | PUP | PUM
Skanningsmuligheder som er deaktiverede: P2P
Objekter skannet: 362965
Tid gået: 3 time(e), 59 minut(ter), 37 sekund(er)

Hukommelses Processorer Inficeret: 0
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabaseværdier Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasedata Objekter Inficeret: 0
(Ingen skadelige objekter blev fundet)

Inficerede Mapper: 0
(Ingen skadelige objekter blev fundet)

Inficerede Filer: 7
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094249.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094254.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094259.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095259.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095349.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095380.ini (Trojan.0access) -> Ingen handling valgt.
C:\WINDOWS\system32\DBBK\FAB037B6105965CC1B274347824127DE (Trojan.Agent.BVXGen) -> Ingen handling valgt.

(færdig)
Avatar billede 220661 Ekspert
10. august 2012 - 21:26 #11
Den kan ikke fjerne den desværre.
Og den skriver stadig "ingen handling valgt"
Kan desværre ikke hjælpe yderligere.
Har du prøvet Spybot som der også er linket til?
Avatar billede winde Novice
10. august 2012 - 21:37 #12
Hej 220661
Jeg har kørt Malwarebytes Anti-Malware igen, og slette alt der var. Microsoft security Essential har ikke fundet noget de sidste 3 dage, så jeg går ud fra at problemet er løst.
Giv et svar og der er point til dig.
Avatar billede 220661 Ekspert
10. august 2012 - 21:43 #13
Jamen hvad så med dette her?

Inficerede Filer: 7
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094249.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094254.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0094259.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095259.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095349.ini (Trojan.0access) -> Ingen handling valgt.
C:\System Volume Information\_restore{6E2A986A-69DD-4122-91E3-759914397EB8}\RP750\A0095380.ini (Trojan.0access) -> Ingen handling valgt.
C:\WINDOWS\system32\DBBK\FAB037B6105965CC1B274347824127DE (Trojan.Agent.BVXGen) -> Ingen handling valgt.

Det ser jo ud som den ser filen men ikke kan gøre noget ved det.
Har du prøvet at køre TDDSKiller som jeg linkede til i #5?
11. august 2012 - 06:09 #14
Ref #13 - Disse er fra SYSTEMGENDANNELSESPUNKTER - Bliver fjerten når SYSTEMGENDANNELSE bliver "deaktiveret" / "aktiveret" til sidst ...
Avatar billede 220661 Ekspert
11. august 2012 - 08:41 #15
Tak karise med at hjælpe mig med at læse hvad der står lol.
Var så fokuseret på at der stod trojan.0access at jeg ikke så hvad det omhandlede.
Må håbe det forsvinder helt når dette gøres.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester