Hoppa till innehåll

Foto

Virus i bios?


  • Vänligen logga in för att kunna svara
6 svar till detta ämne

#1 missBliss

missBliss

    Användare

  • Medlemmar
  • PipPip
  • 28 inlägg

Postad 26 januari 2008 klockan 16:48

Jag har i en av mina datorer fått ett virus jag inte får bort, jag inte heller ignorera eller sätta i quaratine så att jag kan jobba i datorn. Jag har nu insett att jag måste formatera om.

Viruset är ett Vundo, men jag tror att jag också har haft ytterligare ett virus, som jag fått bort, men problemet kvarstår:

Jag kan inte boota från CDROM. Jag kan gå in i Bios och ändra bootsekvens, men datorn tar ingen hänsyn till denna ändring utan laddar XP från HDD i alla fall.

Det går inte heller att starta Gigabyte(moderkorts)-skivan.

DVDspelaren fungerar och det har fungerat att boota från CD förut (jag installerade XP för några veckor sedan)

Vad skall jag göra?

Reseta Cmos - hjälper det?

Flasha Bios? Hur gör man?

Kan jag sätta den infekterade HDDn som slave i en annan dator och formatera den där utan att bli smittad?
Hjälper det eller kommer bios-problemet att finnas kvar?


#2 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 85 667 inlägg
  • Ort:Stockholm

Postad 26 januari 2008 klockan 17:33

Vundo-infektioner brukar gå att rensa med de rätta programmen, men det kräver en del jobb.

Virus i BIOS har jag inte hört talas om. Kan du se innehållet på XP-skivan när du är inne i Windows?


#3 missBliss

missBliss

    Användare

  • Medlemmar
  • PipPip
  • 28 inlägg

Postad 26 januari 2008 klockan 18:11

Ja, jag kan både starta skivan och utforska den.

Vilka program? Jag har försökt med Search and Destroy, även att ta bort filen ...system32/olika_namn_varje_gång_jag_tar_bort_filen.dll i SDs makulator

Ny upptackt: Det går inte att starta i felsäkert läge med F8.

[Inlägget ändrat 2008-01-26 18:09:22 av missBliss]
[Inlägget ändrat 2008-01-26 18:10:35 av missBliss]

#4 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 85 667 inlägg
  • Ort:Stockholm

Postad 26 januari 2008 klockan 19:03

Ny upptackt: Det går inte att starta i felsäkert läge med F8.

Vad händer?

Ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.
Kör ComboFix och följ anvisningarna som visas.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

I ditt svar bifogar du ComboFix-loggen på detta sätt:
Tryck på LOG-knappen i Besvara-fönstret
Klistra in loggen
Tryck igen på LOG-knappen

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.


#5 missBliss

missBliss

    Användare

  • Medlemmar
  • PipPip
  • 28 inlägg

Postad 26 januari 2008 klockan 21:02

Jag har nu kört ComboFix.
Men jag kunde inte stänga av Avira Antivir, programmet körs dvs. "virus detection" poppar up hela tiden trots att jag dödar processen. Ligger viruset inne i Antivir?
Filen det varnas för är följande:
C:\WINDOWS\system32\urqnopq.dll

[log]ComboFix 08-01-23.1C - Jonas Enell 2008-01-26 20:27:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.1645 [GMT 1:00]
Running from: C:\Documents and Settings\Jonas Enell\Skrivbord\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\OPTIONS\CABS\_desktop.ini
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\ehkmp.ini
C:\WINDOWS\system32\ehkmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\RCX7.tmp

.
((((((((((((((((((((((((( Files Created from 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))
.

2008-01-26 20:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-24 19:46 . 2008-01-24 19:46 15 --a------ C:\WINDOWS\system32\84b63989
2008-01-23 21:32 . 2008-01-24 18:36 <KAT> d-------- C:\Program\Avira
2008-01-23 20:56 . 2008-01-24 19:37 338,432 --a------ C:\WINDOWS\system32\pmkhe.exe
2008-01-23 16:08 . 2008-01-24 19:37 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2008-01-22 19:42 . 2008-01-22 22:14 334,848 --a------ C:\WINDOWS\system32\pmkhe.VIR
2008-01-22 18:47 . 2008-01-22 18:47 304 --a------ C:\WINDOWS\game.ini
2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\WINDOWS\system32\nGpxx01
2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\Temp\cXzz9
2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\Temp
2008-01-22 18:36 . 2008-01-22 18:36 38,400 --------- C:\WINDOWS\system32\urqnopq.dll
2008-01-22 18:17 . 2008-01-22 18:17 <KAT> d--hs---- C:\WINDOWS\ftpcache
2008-01-22 16:33 . 2008-01-22 19:42 <KAT> d-------- C:\Program\DAEMON Tools
2008-01-15 22:15 . 2008-01-15 22:15 <KAT> d-------- C:\Program\SystemRequirementsLab
2008-01-05 01:06 . 2008-01-05 01:06 <KAT> d-------- C:\Program\RivaTuner v2.06
2008-01-04 21:49 . 2008-01-04 21:50 <KAT> d-------- C:\Program\Orthos
2007-12-29 22:13 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2007-12-29 22:01 . 2004-08-04 01:33 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-12-29 22:01 . 2004-08-04 01:33 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 18:42 --------- d-----w C:\Program\QuickTime
2008-01-22 18:42 --------- d-----w C:\Program\MSN Messenger
2008-01-22 17:47 --------- d--h--w C:\Program\InstallShield Installation Information
2008-01-04 21:01 --------- d-----w C:\Program\SpeedFan
2008-01-03 13:07 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-25 12:23 --------- d-----w C:\Program\Winamp
2007-12-22 22:00 --------- d-----w C:\Program\ATITool
2007-12-17 16:15 --------- d-----w C:\Program\Fraps
2007-12-17 14:38 --------- d-----w C:\Program\CoreTemp
2007-12-17 12:17 --------- d-----w C:\Program\Futuremark
2007-12-13 18:12 --------- d-----w C:\Program\Delade filer\Wise Installation Wizard
2007-12-13 18:11 --------- d-----w C:\Program\AGEIA Technologies
2007-12-05 18:18 --------- d-----w C:\Program\Motherboard Monitor 5
2007-11-29 20:31 --------- d-----w C:\Program\ImgBurn
2007-11-26 17:12 15,600 ----a-w C:\WINDOWS\gdrv.sys
2007-11-07 03:11 315,392 ----a-w C:\WINDOWS\HideWin.exe
.
<pre>
----a-w           249,896 2008-01-24 18:37:23  C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt .exe
----a-w            15,360 2008-01-24 18:37:23  C:\WINDOWS\system32\ctfmon .exe
</pre>


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries &amp; legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}]
2008-01-22 18:36 38400 --------- C:\WINDOWS\system32\urqnopq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A90BD435-AC4C-40DB-85F1-165D0F93666C}]
C:\WINDOWS\system32\pmkhe.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program\MSN Messenger\msnmsgr.exe" [ ]
"DAEMON Tools"="C:\Program\DAEMON Tools\daemon.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:34 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [ ]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 10:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"QuickTime Task"="C:\Program\QuickTime\qttask.exe" [ ]
"Profiler"="C:\Program\Saitek\Software\Profiler.exe" [ ]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [ ]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [ ]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-25 17:05 249896]
"ATIPTA"="C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:34 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}"= C:\WINDOWS\system32\urqnopq.dll [2008-01-22 18:36 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqnopq]
urqnopq.dll 2008-01-22 18:36 38400 C:\WINDOWS\system32\urqnopq.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"MsnMsgr"="C:\Program\MSN Messenger\msnmsgr.exe" /background
"Steam"=C:\Program\Valve\Steam\\Steam.exe -silent
"DAEMON Tools"="C:\Program\DAEMON Tools\daemon.exe" -lang 1033
"MSMSGS"="C:\Program\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Hotkey"=C:\Program\Hotkey\Hotkey.exe
"RaidTool"=C:\Program\VIA\RAID\raid_tool.exe
"Sony Ericsson PC Suite"="C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
"TkBellExe"="C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot
"QuickTime Task"="C:\Program\QuickTime\qttask.exe" -atboottime
"razer"=C:\Program\Razer\Copperhead\razerhid.exe
"SaiSmart"=C:\Program\Saitek\Software\SaiSmart.exe
"Alcmtr"=ALCMTR.EXE
"WinampAgent"=C:\Program\Winamp\winampa.exe
"36X Raid Configurer"=C:\WINDOWS\system32\JMRaidSetup.exe boot

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);C:\WINDOWS\system32\drivers\pe3ah4nc.sys [2007-05-18 20:53]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);C:\WINDOWS\system32\drivers\ps6ah4nc.sys [2007-05-18 20:52]
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2005-06-20 11:53]
R3 SaiClass;SaiClass;C:\WINDOWS\system32\drivers\SaiNtBus.sys [2003-04-10 10:41]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);C:\WINDOWS\system32\pr2ah4nc.exe svc []
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-26 18:12]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-12-04 15:59]
S3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-08-12 09:11]
S3 SaiNtHid;%SAINTHID_NAME%;C:\WINDOWS\system32\DRIVERS\SaiNtHid.sys [2003-04-10 11:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setup.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-26 20:44:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\pmkhe.VIR:SummaryInformation 88 bytes hidden from API
C:\WINDOWS\system32\pmkhe.VIR:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 0 bytes hidden from API

scan completed successfully
hidden files: 2

**************************************************************************
.
Completion time: 2008-01-26 20:48:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-26 19:48:14
.
2007-11-19 01:49:33 --- E O F ---
[/log]


#6 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 85 667 inlägg
  • Ort:Stockholm

Postad 27 januari 2008 klockan 00:01

Ligger viruset inne i Antivir?

Kanske, det ser ut som att avgnt.exe kan ha blivit infekterad.

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen här. Upprepa med nästa filnamn.
C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\urqnopq.dll
C:\WINDOWS\system32\84b63989
C:\WINDOWS\system32\pmkhe.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\game.ini
C:\WINDOWS\gdrv.sys

Vad finns i mappen C:\Temp\cXzz9 ?


#7 missBliss

missBliss

    Användare

  • Medlemmar
  • PipPip
  • 28 inlägg

Postad 30 januari 2008 klockan 18:30

Tack för all hjälp!
Efter att ha kört filerna + ett par till som jag tyckte såg konstiga ut, och fått flera virus detections. Bestämde jag mig för att formatera.
Jag lyckades boota från cdn genom att helt enkelt koppla ur hddn tills att jag kommit in på skivan.

Tack igen!





0 användare läser detta ämne

0 medlemmar, 0 gäster, 0 anonyma medlemmar

 
 

Senaste trådarna

 

pc för alla Senaste nytt


Prenumerera på nyheter

Missa inte PC för Allas
smarta nyhetsbrev
Läs mer om nyhetsbreven här!
  PFA Express
  Veckans surftips
  Extreme
PC för Alla-nätverket