Just nu i M3-nätverket
Gå till innehåll

Har en dator med polisviruset


broken_arrow

Rekommendera Poster

Har inte fått bort det. men hittat lite skit Skickar med loggar. Kan fixa den där loggen över datorn också. Är inte min dator så kan vara mycket ouppdaterat (som jag fixar så fort datorn börjar se ren ut).

 

Är i alla fall något som ligger vid uppstart (är ju den jävla win 8 så lite svårare att hitta rätt när man ska gräva i so:et), så det startar inte direkt vid uppstart utan tar en stund.

 

 

Nå får i alla fall igång det i felsäkert läge. Jag har inte fått bort det, dock har jag inte provat efter senaste malwarebytes logen. Kör nu en eset scan, så kan återkomma snart med den loggen och vad datorn har som körs/ligger.

 

 

RogueKiller V10.1.0.0 (x64) [Dec 11 2014] by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Website : http://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

Operating System : Windows 8.1 (6.3.9600 ) 64 bits version
Started in : Safe mode
User : Roger W [Administrator]
Mode : Delete -- Date : 12/20/2014 14:18:38

¤¤¤ Processes : 0 ¤¤¤

¤¤¤ Registry : 10 ¤¤¤
[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | RtsFT : RTFTrack.exe [7] -> Deleted
[PUP] (X64) HKEY_USERS\S-1-5-21-3605516667-2508026091-3168182679-1002\Software\Microsoft\Windows\CurrentVersion\Run | Pokki : "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON [7][x] -> Deleted
[PUP] (X86) HKEY_USERS\S-1-5-21-3605516667-2508026091-3168182679-1002\Software\Microsoft\Windows\CurrentVersion\Run | Pokki : "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON -> ERROR [2]
[Hidden.From.SCM] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VerifierExt -> Deleted
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E6EA55BA-2D93-4AB8-8AF0-EB1CC602EDEE} | DhcpNameServer : 169.254.42.207 -> Not selected
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E6EA55BA-2D93-4AB8-8AF0-EB1CC602EDEE} | DhcpNameServer : 169.254.42.207 -> Not selected
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Files : 0 ¤¤¤

¤¤¤ Hosts File : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Not loaded [0xc000035f]) ¤¤¤

¤¤¤ Web browsers : 0 ¤¤¤

¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] f1d075f8bc86d1411cf3a43d4e6ac216
[bSP] 10e4430489ad59703e1e58b82fbdcd7b : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097152 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 54a1160fd5ae79bdff28df84be43eb7f
[bSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0xb) [VISIBLE] Offset (sectors): 2048 | Size: 7632 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Begäran stöds inte. )


============================================
RKreport_SCN_12202014_140737.log

 

RogueKiller V10.1.0.0 (x64) [Dec 11 2014] by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Website : http://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

Operating System : Windows 8.1 (6.3.9600 ) 64 bits version
Started in : Safe mode with network support
User : Roger W [Administrator]
Mode : Scan -- Date : 12/21/2014 10:12:18

¤¤¤ Processes : 0 ¤¤¤

¤¤¤ Registry : 6 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E6EA55BA-2D93-4AB8-8AF0-EB1CC602EDEE} | DhcpNameServer : 169.254.42.207 -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E6EA55BA-2D93-4AB8-8AF0-EB1CC602EDEE} | DhcpNameServer : 169.254.42.207 -> Found
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Found
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Found
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Found
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Found

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Files : 0 ¤¤¤

¤¤¤ Hosts File : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Not loaded [0xc000035f]) ¤¤¤

¤¤¤ Web browsers : 0 ¤¤¤

¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] f1d075f8bc86d1411cf3a43d4e6ac216
[bSP] 10e4430489ad59703e1e58b82fbdcd7b : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097152 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 54a1160fd5ae79bdff28df84be43eb7f
[bSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32 (0xb) [VISIBLE] Offset (sectors): 2048 | Size: 7632 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Begäran stöds inte. )


============================================
RKreport_DEL_12202014_141838.log - RKreport_SCN_12202014_140737.log - RKreport_SCN_12202014_142203.log

 

 

 

AdwCleanerR0.txt

AdwCleanerS0.txt

AdwCleanerR1.txt

malware jh.txt

Länk till kommentar
Dela på andra webbplatser

Låt MBAM ta bort de filer den hittade för åtminstone nån har med polisviruset att göra.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

C:\ProgramData\C3838DD57.cpp
C:\Users\All Users\C3838DD57.cpp
C:\Windows.old\Users\All Users\C3838DD57.cp
HKU\S-1-5-21-3605516667-2508026091-3168182679-1002\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [2373784 2014-03-04] (Microsoft Corporation) <==== ATTENTION 
Startup: C:\Users\Roger W\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75DD8383C.lnk
ShortcutTarget: 75DD8383C.lnk -> C:\Windows\System32\regsvr32.exe (Microsoft Corporation)
SearchScopes: HKU\S-1-5-21-3605516667-2508026091-3168182679-1002 -> {2F8D2708-BBAC-4E63-A4A0-685A32918E9C} URL = 
2014-12-20 19:14 - 2014-12-20 19:14 - 00361984 ____T () C:\ProgramData\75DD8383C.zot
2014-12-20 10:59 - 2014-11-16 12:51 - 00000000 ____D () C:\Users\Roger W\AppData\Local\Pokki
Folder: C:\ProgramData
Folder: C:\ProgramData\LU
File: C:\WINDOWS\SysWOW64\rootpa.e2e
EmptyTemp:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv och se om det går bra att starta i normalt läge.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

Sen vill jag se en ny FRST.txt för det kan finnas mer som ska bort.

Länk till kommentar
Dela på andra webbplatser

Låt MBAM ta bort de filer den hittade för åtminstone nån har med polisviruset att göra.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

C:\ProgramData\C3838DD57.cpp
C:\Users\All Users\C3838DD57.cpp
C:\Windows.old\Users\All Users\C3838DD57.cp
HKU\S-1-5-21-3605516667-2508026091-3168182679-1002\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [2373784 2014-03-04] (Microsoft Corporation) <==== ATTENTION 
Startup: C:\Users\Roger W\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\75DD8383C.lnk
ShortcutTarget: 75DD8383C.lnk -> C:\Windows\System32\regsvr32.exe (Microsoft Corporation)
SearchScopes: HKU\S-1-5-21-3605516667-2508026091-3168182679-1002 -> {2F8D2708-BBAC-4E63-A4A0-685A32918E9C} URL = 
2014-12-20 19:14 - 2014-12-20 19:14 - 00361984 ____T () C:\ProgramData\75DD8383C.zot
2014-12-20 10:59 - 2014-11-16 12:51 - 00000000 ____D () C:\Users\Roger W\AppData\Local\Pokki
Folder: C:\ProgramData
Folder: C:\ProgramData\LU
File: C:\WINDOWS\SysWOW64\rootpa.e2e
EmptyTemp:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv och se om det går bra att starta i normalt läge.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

Sen vill jag se en ny FRST.txt för det kan finnas mer som ska bort.

 

 

 

Så får hoppas det börjar få bort det mesta nu :)

Addition.txt

FRST.txt

Fixlog.txt

Länk till kommentar
Dela på andra webbplatser

1. På sidan http://www.virustotal.com klickar du på Choose File -knappen och klistrar in C:\WINDOWS\SysWOW64\rootpa.e2e i fältet "Filnamn", klicka på Öppna och sedan på Scan it!. Om det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här.

 

2. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

C:\ProgramData\Pokki
C:\Users\Public\Pokki
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Polisviruset har orsakat en skada i Windows, tjänsten Winmgmt. ComboFix brukar kunna reparera det.

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

Om det kommer upp något meddelande, t ex att ett rootkit har hittats, från ComboFix skriv ner det och skriv det sedan i ditt svar.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Länk till kommentar
Dela på andra webbplatser

1. På sidan http://www.virustotal.com klickar du på Choose File -knappen och klistrar in C:\WINDOWS\SysWOW64\rootpa.e2e i fältet "Filnamn", klicka på Öppna och sedan på Scan it!. Om det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här.

 

2. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

C:\ProgramData\Pokki
C:\Users\Public\Pokki
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Polisviruset har orsakat en skada i Windows, tjänsten Winmgmt. ComboFix brukar kunna reparera det.

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

Om det kommer upp något meddelande, t ex att ett rootkit har hittats, från ComboFix skriv ner det och skriv det sedan i ditt svar.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

 

https://www.virustotal.com/sv/file/1cd199d42c56d2aab0710533784ce116f0e171207b220df69f9b629f79f36831/analysis/1419242297/ verkar vara ren.

 

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-12-2014

Ran by Roger W at 2014-12-22 16:59:29 Run:2

Running from C:\Users\Roger W\Desktop

Loaded Profile: Roger W (Available profiles: Roger W & Administrator)

Boot Mode: Safe Mode (with Networking)

==============================================

 

Content of fixlist:

*****************

C:\ProgramData\Pokki

C:\Users\Public\Pokki

*****************

 

C:\ProgramData\Pokki => Moved successfully.

C:\Users\Public\Pokki => Moved successfully.

 

==== End of Fixlog ====

 

 

combfix funkar inte på win 8.1.

Länk till kommentar
Dela på andra webbplatser

Okej, då får vi försöka på ett annat sätt. Jag har inte tid att översätta nu men så är lyder det på engelska:

Download this and save it to the desktop: Windows Repair http://www.tweaking.com/content/page/windows_repair_all_in_one.html

Use the coloured button next to Direct Download just below Installer (xx MB) to start the download. NOTE: DO NOT use the green buttons at the top of the page as this is dubious software that could infect your system with Adware.

 

Close your browser and any running programs, double click on the Tweaking icon on your desktop to run the tool. When the program opens click on the Step 5 tab. Under System Restore click on Create and wait for the confirmation to appear just below the button.

 

When complete click on the tab Start Repairs, click on the Start button. Then click on Unselect All and tick the boxes next to the items in the list below.

 

When done click on the Start button and leave it undisturbed until complete.

 

Reset Registry Permissions

Reset File Permissions

Reset Service Permissions

Register System Files

Repair WMI

Repair Hosts File

Remove Policies Set By Infections

Set Windows Services To Default Startup

Restore Important Windows Services

http://forums.techguy.org/virus-other-malware-removal/1133442-system-cannot-find-file-specified-2.html

 

Om du vill ha det översatt så kan jag göra det senare, säg till i så fall.

Länk till kommentar
Dela på andra webbplatser

I loggarna ser det bra ut i alla fall. Har det dykt upp något mer du undrar om eller som inte fungerar riktigt bra?

 

Om inte är det dags att avinstallera AdwCleaner och FRST.

 

1. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

 

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/

Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

 

4. Vid avinstallationen av McAfee antivirus följ anvisningarna på https://service.mcafee.com/FAQDocument.aspx?id=TS101331

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...