Problem med borttagning av virus (keylogger.cone.trojan)

[Zoneman]

Hej!

 

har problem med viruset jag fick för ca 1 vecka sen.

Virus-programmet kan ej laga eller ta bort.

när man ska byta namn/flytta/öppna den står det ''åtkomst nekad''

 

Plats C:\windows\System32\iexplorer.dll

 

skulle vara MYCKET hjälpsamt om någon ville säga hur man gör...

 

tack å förhand. ! xD

 

[mushkin]

Hej!

 

Här finns informationen du söker...

http://securityresponse.symantec.com/avcenter/venc/data/keylogger.cone.trojan.html

 

Jag skulle vilja slå ett slag för att du även installerar en annan webbläsare än Internet Explorer.

 

T.ex. Mozilla Firefox....eller Opera.

Så får du in mindre sån där skit i datorn.....

 

// Mushkin

 

 

[Zoneman]

Tack för tipset, men har redan prövat på den sidan. och kan endå inte ta bort det. vet inte om det är bara jag som gör någe fel eller...

 

det står ju att man ska ställa tillbaka ändringarna som viruset gorde i registret, men jag hittar inga av dom ändringarna.

 

vad kan det betyda?..Hmm...

 

//Zoneman

 

[mushkin]

Har du gjort följande?

 

 

1. Click Start, and then click Run. (The Run dialog box appears.)

2. Type regedit

 

Then click OK. (The Registry Editor opens.)

 

3. Navigate to the key:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

4. In the right pane, delete the value:

 

"WIN HOST PROCESS"="%system%\WIN HOST PROCESS.EXE"

 

5. Navigate to and delete the following keys:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer Browser Helper Objects\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}

HKEY_LOCAL_MACHINE\CLASSES\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}

HKEY_LOCAL_MACHINE\CLASSES\Interface\{1E1B2879-88FF-11D3-8D96-

D7ACAC95951A}

HKEY_LOCAL_MACHINE\CLASSES\TypeLib\{1E1B2879-88FF-11D3-8D96-

D7ACAC95951A}

HKEY_LOCAL_MACHINE\CLASSES\PK.IE.1

HKEY_LOCAL_MACHINE\CLASSES\PK.IE

 

6. Exit the Registry Editor.

 

 

 

[Zoneman]

hej igen, tack för hjälpen!

 

men... hittar ingen av dom filerna i registret.

verkar som att viruset inte hara aktiverats ,eller?

 

moste dra och äta nu men kommer tillbax

tack för hjälpen

 

//Zoneman\

[Cecilia]

Det är nog bäst att du tar ut en HijackThis-logg så att det går att se vad som är aktivt på datorn. Programmet finns här:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat).

 

I ditt svar här skriver du hur det har gått och bifogar loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[diGitahL]

Denna borde mwav/kaspersky fixa lätt

 

 

Scanna datorn med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Skicka hit loggen från scannen,alltså allt som kommer i nedre fönster.

 

I ditt svar här skriver du hur det har gått och bifogar loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[Thomas Madsen]

Hejsan! har verkligen ett stort problem här. Har gjort som du sa och vad ska jag göra sen; Finns det inga gratisprogram som tar bort detta ? Finns på email : Tm_butt@hotmail.com

 

[log]File C:\WINDOWS\system32\mssearchnet.exe infected by "Trojan-Downloader.Win32.Zlob.ha" Virus. Action Taken: File to be deleted on reboot.

File C:\WINDOWS\system32\hpAD9B.tmp infected by "Trojan-Downloader.Win32.Zlob.hc" Virus. Action Taken: File to be deleted on reboot.

File C:\WINDOWS\system32\dxmpp.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus. Action Taken: File Renamed.

File C:\WINDOWS\system32\hpA03A.tmp infected by "Trojan-Downloader.Win32.Zlob.hc" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\Thomas\Lokala inställningar\Temp\VVSNInst.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\Program\Delade filer\blhlleln\bfbctcchtp\nncfbljef.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.

File C:\Program\Delade filer\blhlleln\peecrphl\ehcdbplr.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.

File C:\Program\MyEmoticons\VVSNI_S3_MYEM_Inst.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057704.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057705.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057706.exe infected by "Trojan-Dropper.Win32.Small.tc" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057707.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057708.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057709.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0058959.exe tagged as not-a-virus:Downloader.Win32.WinFixer.f. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP369\A0059068.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP373\A0059304.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus. Action Taken: File Renamed.

File C:\WINDOWS\system32\mssearchnet.exe infected by "Trojan-Downloader.Win32.Zlob.ha" Virus. Action Taken: File to be deleted on reboot.

File C:\WINDOWS\system32\hpAD9B.tmp infected by "Trojan-Downloader.Win32.Zlob.hc" Virus. Action Taken: File to be deleted on reboot.

File C:\WINDOWS\system32\dxmpp.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus. Action Taken: File Renamed.

File C:\WINDOWS\system32\hpA03A.tmp infected by "Trojan-Downloader.Win32.Zlob.hc" Virus. Action Taken: File Deleted.

File C:\Documents and Settings\Thomas\Lokala inställningar\Temp\VVSNInst.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\Program\Delade filer\blhlleln\bfbctcchtp\nncfbljef.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.

File C:\Program\Delade filer\blhlleln\peecrphl\ehcdbplr.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.

File C:\Program\MyEmoticons\VVSNI_S3_MYEM_Inst.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057704.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057705.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057706.exe infected by "Trojan-Dropper.Win32.Small.tc" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057707.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057708.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0057709.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP368\A0058959.exe tagged as not-a-virus:Downloader.Win32.WinFixer.f. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP369\A0059068.exe tagged as not-a-virus:AdWare.Win32.SaveNow.bo. No Action Taken.

File C:\System Volume Information\_restore{3B7EB258-E8C5-4A22-83FE-DAE461554BBC}\RP373\A0059304.dll infected by "not-virus:Hoax.Win32.Renos.v" Virus. Action Taken: File Renamed.

[/log]

 

[inlägget ändrat 2006-02-21 20:08:37 av Anders N]

[Cecilia]

Allt vi rekommenderar här är gratis. Men varför hoppa in i en tråd om keylogger.cone när du har Zlob, Gator, diverse Rbotar mm. Det finns inget program som kan ta bort allt.

 

Starta upp din egen tråd och skriv vad du har för problem.

 

Dessutom behövs det en logg från HijackThis:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

Så får vi se vad för verktyg som är bäst i just ditt fall.

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen