Just nu i M3-nätverket
Jump to content

W32.spybot.worm /Mouseutils.exe


Pires

Recommended Posts

Hej

 

För ett tag sedan öppnade jag en ( så jävla klantigt ) som skickats via msn utan användarens vetskap. Detta medförde att jag, omedvetet skickade iväg denna länk till alla andra kontaker på min lista. Jag förstod ju på en gång att det va virus och scannade igenom datorn (Norton Antivirus -05).

 

Den hittade 2 filer som automatiskt lades i karantän. Mouseutils.exe och kgs.exe. En fil är smittad av W32.spybot.worm och den andra av W32.kevlir.BA. Va där detta?

 

När jag startade om datorn efter det att jag fått viruset kom det upp automatiskt:

 

Okänd Utgivare.

Mouseutils.exe

Vill du köra detta program?

 

något sådant i alla fall...Det har nu slutat poppa upp, formodligen för att filen ligger i kaantän.

 

Men, behöver jag dessa två filer till något? Det står att dess ursprungliga plats är Windows/system32....men jag tvivlar, det är väl virusets som lagts sig där?

 

Om jag tar bort dem, är då viruset förvunnet? Hjälper det att ominstallera Windows?

 

Oerhört tacksam för hjälp då datorn är helt ny och kostade mig en rejäl slant.

 

// Kalle Rogbrant

 

Link to comment
Share on other sites

Stefan Eklinder

 

Kolla i ditt antivirusprogram och karantänen om du är osäker på vad som hänt.

 

Mouseutils.exe är tydligen en javagrej som fixar utökade menyer vid högerklick. Sökte i mitt eget system, och fann att inte jag har den. Du kan ju prova att plocka bort och se vad som händer. Hamnar ju i Papperskorgen, och därifrån är det lätt att återställa filen igen.

 

w32.spybot.worm

http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html

 

w32.kelvir.ap

http://www.symantec.com/avcenter/venc/data/w32.kelvir.a.html

 

W32.Kelvir.A is a worm that spreads through Windows and MSN Messenger. The worm attempts to download and execute a variant of W32.Spybot.Worm.

 

Finns hela alfabetet här:

http://www.google.se/search?hl=sv&q=W32.Kelvir&btnG=Google-s%C3%B6kning&meta=

 

---

C:\Eforum\Stefan Eklinder>|

 

"Det finns två företeelser som är oändliga, universum och den mänskliga dumheten. Jag är dock inte säker på den förstnämnda."

 

- Albert Einstein

 

-->Passerade 10.000 inlägg den 1 maj 2005 kl: 16.48<--

 

[inlägget ändrat 2005-05-04 19:38:19 av Stefan Eklinder]

Link to comment
Share on other sites

Ok tack.

 

Men tyvärr känns det som om att jag fortfarande inte har en aning cad jag ska göra för att få bort all skit från datorn, jag skulle kunna ta bort mousutils.exe och dena andras smittade filen i karantänen, men jag tror ändå att datorn fortfarande är smittad.

 

laddade ner ad-aware och scannade igenom datorn, den hittade ganska många filer. dock ganska mycket reklampopups.

 

Men om jag formaterar hårddisken och ominstallerar windows, borde rimligen den här typen av virus försvinna då?

 

tack.

 

Link to comment
Share on other sites

Stefan Eklinder

 

Kör några onlinealternativ:

 

---> http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym

 

laddade ner ad-aware och scannade igenom datorn, den hittade ganska många filer. dock ganska mycket reklampopups.

 

Bra, men det hjälper tyvärr inte mot dina virus.

 

Men om jag formaterar hårddisken och ominstallerar windows, borde rimligen den här typen av virus försvinna då?

 

Har du gått igenom registret och annat som Symantec och gänget föreslår för att bli av med dina virus?

 

Formatera skulle komma i sista hand för min del.

 

Kör också en HiJackThis-runda och klistra in loggen här, så kanske du kan få mer proffshjälp, Cecilia och gänget som är experter på loggarna. :-)

 

HiJackThis kan du ladda ned härifrån:

http://www.majorgeeks.com/download3155.html

 

Glöm inte LOG-funktionen!

Klistra in loggen. Markera och klicka på LOG-knappen uppe till höger i inläggsfönstret. Posta sedan...

 

---

C:\Eforum\Stefan Eklinder>|

 

"Det finns två företeelser som är oändliga, universum och den mänskliga dumheten. Jag är dock inte säker på den förstnämnda."

 

- Albert Einstein

 

-->Passerade 10.000 inlägg den 1 maj 2005 kl: 16.48<--

 

[inlägget ändrat 2005-05-05 15:04:04 av Stefan Eklinder]

Link to comment
Share on other sites

Tack ska du ha.

 

Här är mig logfile (tror jag)

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:36:03, on 2005-05-05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Winamp\winampa.exe

C:\Program\Delade filer\CMEII\CMESys.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Delade filer\GMT\GMT.exe

C:\Program\Winamp\winamp.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\KALLER~1\LOKALA~1\Temp\Rar$EX00.500\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [CMESys] "C:\Program\Delade filer\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe[/log]

 

 

Jag har också sökt med alla de onlinevirusprogrammen du tippsade om 1 program hittade följande:

 

C:\Program\Delade filer\GMT\EGGCEngine.dll is infected with Adware.Gator

 

14 stycken sådan...men det är väl reklamhot och inget jätteallvarligt elle?

 

annars hittade den inget, åtminstone inget med W32. eller liknande.

 

Vore grymt tacksam ifall någon som har tid och lust kollade logen och medelar eventuella åtgärder :). jag har gett mig fan på att skiten ska bort.

 

Tack så länge!!

 

 

P.s En fundering till. Om en fil ligger i karantän, exempelvis i Norton. Det är väl ungefär som att filen ligger i papperkorgen? funderar på att ta bort dem två nu, och eftersom jag inte märkt några deffekter så länge de legat i karantänen, borde jag väl inte märka något om jag raderar ut dem helt? d.s

 

[inlägget ändrat 2005-05-05 21:58:04 av Pires]

Link to comment
Share on other sites

Stefan Eklinder
C:\Program\Delade filer\GMT\EGGCEngine.dll is infected with Adware.Gator

14 stycken sådan...men det är väl reklamhot och inget jätteallvarligt elle?

 

Tror att Spybot klipper det. :-)

http://www.safer-networking.org/en/download/

 

P.s En fundering till. Om en fil ligger i karantän, exempelvis i Norton. Det är väl ungefär som att filen ligger i papperkorgen? funderar på att ta bort dem två nu, och eftersom jag inte märkt några deffekter så länge de legat i karantänen, borde jag väl inte märka något om jag raderar ut dem helt? d.s

 

Jajjemen, du kan dumpa det som ligger i karantänen.

Det är antivirusprogrammets förvaringsplats när det tagit hand om virus och annat. Tror att du därifrån även kan skicka iväg viruset till antivirusprogrammets forskningsavdelning om det är ett okänt virus.

 

Annars är det bara att tömma karantänen. Viruset är oskadliggjort.

 

---

C:\Eforum\Stefan Eklinder>|

 

"Det finns två företeelser som är oändliga, universum och den mänskliga dumheten. Jag är dock inte säker på den förstnämnda."

 

- Albert Einstein

 

-->Passerade 10.000 inlägg den 1 maj 2005 kl: 16.48<--

 

Link to comment
Share on other sites

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Den här datorn - högerklick - Egenskaper - Systemåterställning

Funktionen ska sedan sättas på när datorn är ren.

 

För att HijackThis ska kunna spara säkerhetskopior på det den tar bort måste den körbara filen HijackThis.exe ligga i sin egen mapp. HijackThis kan inte köras innifrån den nedladdade filen hijackthis.zip. Om du laddar ner hijackthis.zip så måste den packas upp så att den körbara filen HijackThis.exe kan användas. Skapa en ny mapp t ex E:\HjT och lägg den körbara filen HijackThis.exe där (sedan kan du slänga den nedladdade filen hijackthis.zip).

 

Följ instruktionerna här för att ta bort Gator:

http://www.pchell.com/support/gator.shtml

Gator bör man ta bort eftersom det är ett spionprogram.

 

Om du inte använder Windows messenger så kan det stängas av enligt instruktionerna här:

http://castlecops.com/startuplist-2280.html

 

Kör HijackThis och skanna. Bocka för denna rad (om den fortfarande finns kvar):

 

O4 - HKLM\..\Run: [CMESys] "C:\Program\Delade filer\CMEII\CMESys.exe"

 

vsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort mappen:

C:\Program\Delade filer\CMEII

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...