Virus i bios?

[missBliss]

Jag har i en av mina datorer fått ett virus jag inte får bort, jag inte heller ignorera eller sätta i quaratine så att jag kan jobba i datorn. Jag har nu insett att jag måste formatera om.

 

Viruset är ett Vundo, men jag tror att jag också har haft ytterligare ett virus, som jag fått bort, men problemet kvarstår:

 

Jag kan inte boota från CDROM. Jag kan gå in i Bios och ändra bootsekvens, men datorn tar ingen hänsyn till denna ändring utan laddar XP från HDD i alla fall.

 

Det går inte heller att starta Gigabyte(moderkorts)-skivan.

 

DVDspelaren fungerar och det har fungerat att boota från CD förut (jag installerade XP för några veckor sedan)

 

Vad skall jag göra?

 

Reseta Cmos - hjälper det?

 

Flasha Bios? Hur gör man?

 

Kan jag sätta den infekterade HDDn som slave i en annan dator och formatera den där utan att bli smittad?

Hjälper det eller kommer bios-problemet att finnas kvar?

 

[Cecilia]

Vundo-infektioner brukar gå att rensa med de rätta programmen, men det kräver en del jobb.

 

Virus i BIOS har jag inte hört talas om. Kan du se innehållet på XP-skivan när du är inne i Windows?

 

[missBliss]

Ja, jag kan både starta skivan och utforska den.

 

Vilka program? Jag har försökt med Search and Destroy, även att ta bort filen ...system32/olika_namn_varje_gång_jag_tar_bort_filen.dll i SDs makulator

 

Ny upptackt: Det går inte att starta i felsäkert läge med F8.

 

[inlägget ändrat 2008-01-26 18:09:22 av missBliss]

[inlägget ändrat 2008-01-26 18:10:35 av missBliss]

[Cecilia]

Ny upptackt: Det går inte att starta i felsäkert läge med F8.

Vad händer?

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

I ditt svar bifogar du ComboFix-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

[missBliss]

Jag har nu kört ComboFix.

Men jag kunde inte stänga av Avira Antivir, programmet körs dvs. "virus detection" poppar up hela tiden trots att jag dödar processen. Ligger viruset inne i Antivir?

Filen det varnas för är följande:

C:\WINDOWS\system32\urqnopq.dll

 

[log]ComboFix 08-01-23.1C - Jonas Enell 2008-01-26 20:27:27.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.1645 [GMT 1:00]

Running from: C:\Documents and Settings\Jonas Enell\Skrivbord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\OPTIONS\CABS\_desktop.ini

C:\WINDOWS\system32\ctfmon.exe.tmp

C:\WINDOWS\system32\ehkmp.ini

C:\WINDOWS\system32\ehkmp.ini2

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\RCX7.tmp

 

.

((((((((((((((((((((((((( Files Created from 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))

.

 

2008-01-26 20:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe

2008-01-24 19:46 . 2008-01-24 19:46 15 --a------ C:\WINDOWS\system32\84b63989

2008-01-23 21:32 . 2008-01-24 18:36 <KAT> d-------- C:\Program\Avira

2008-01-23 20:56 . 2008-01-24 19:37 338,432 --a------ C:\WINDOWS\system32\pmkhe.exe

2008-01-23 16:08 . 2008-01-24 19:37 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe

2008-01-22 19:42 . 2008-01-22 22:14 334,848 --a------ C:\WINDOWS\system32\pmkhe.VIR

2008-01-22 18:47 . 2008-01-22 18:47 304 --a------ C:\WINDOWS\game.ini

2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\WINDOWS\system32\nGpxx01

2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\Temp\cXzz9

2008-01-22 18:36 . 2008-01-22 18:36 <KAT> d-------- C:\Temp

2008-01-22 18:36 . 2008-01-22 18:36 38,400 --------- C:\WINDOWS\system32\urqnopq.dll

2008-01-22 18:17 . 2008-01-22 18:17 <KAT> d--hs---- C:\WINDOWS\ftpcache

2008-01-22 16:33 . 2008-01-22 19:42 <KAT> d-------- C:\Program\DAEMON Tools

2008-01-15 22:15 . 2008-01-15 22:15 <KAT> d-------- C:\Program\SystemRequirementsLab

2008-01-05 01:06 . 2008-01-05 01:06 <KAT> d-------- C:\Program\RivaTuner v2.06

2008-01-04 21:49 . 2008-01-04 21:50 <KAT> d-------- C:\Program\Orthos

2007-12-29 22:13 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll

2007-12-29 22:01 . 2004-08-04 01:33 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2007-12-29 22:01 . 2004-08-04 01:33 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-22 18:42 --------- d-----w C:\Program\QuickTime

2008-01-22 18:42 --------- d-----w C:\Program\MSN Messenger

2008-01-22 17:47 --------- d--h--w C:\Program\InstallShield Installation Information

2008-01-04 21:01 --------- d-----w C:\Program\SpeedFan

2008-01-03 13:07 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys

2007-12-25 12:23 --------- d-----w C:\Program\Winamp

2007-12-22 22:00 --------- d-----w C:\Program\ATITool

2007-12-17 16:15 --------- d-----w C:\Program\Fraps

2007-12-17 14:38 --------- d-----w C:\Program\CoreTemp

2007-12-17 12:17 --------- d-----w C:\Program\Futuremark

2007-12-13 18:12 --------- d-----w C:\Program\Delade filer\Wise Installation Wizard

2007-12-13 18:11 --------- d-----w C:\Program\AGEIA Technologies

2007-12-05 18:18 --------- d-----w C:\Program\Motherboard Monitor 5

2007-11-29 20:31 --------- d-----w C:\Program\ImgBurn

2007-11-26 17:12 15,600 ----a-w C:\WINDOWS\gdrv.sys

2007-11-07 03:11 315,392 ----a-w C:\WINDOWS\HideWin.exe

.

<pre>
----a-w           249,896 2008-01-24 18:37:23  C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt .exe
----a-w            15,360 2008-01-24 18:37:23  C:\WINDOWS\system32\ctfmon .exe
</pre>

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}]

2008-01-22 18:36 38400 --------- C:\WINDOWS\system32\urqnopq.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A90BD435-AC4C-40DB-85F1-165D0F93666C}]

C:\WINDOWS\system32\pmkhe.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="C:\Program\MSN Messenger\msnmsgr.exe" [ ]

"DAEMON Tools"="C:\Program\DAEMON Tools\daemon.exe" [ ]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:34 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [ ]

"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 10:33 16132608 C:\WINDOWS\RTHDCPL.exe]

"QuickTime Task"="C:\Program\QuickTime\qttask.exe" [ ]

"Profiler"="C:\Program\Saitek\Software\Profiler.exe" [ ]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [ ]

"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [ ]

"Cmaudio"="cmicnfg.cpl" []

"avgnt"="C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-25 17:05 249896]

"ATIPTA"="C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:34 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}"= C:\WINDOWS\system32\urqnopq.dll [2008-01-22 18:36 38400]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqnopq]

urqnopq.dll 2008-01-22 18:36 38400 C:\WINDOWS\system32\urqnopq.dll

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

"MsnMsgr"="C:\Program\MSN Messenger\msnmsgr.exe" /background

"Steam"=C:\Program\Valve\Steam\\Steam.exe -silent

"DAEMON Tools"="C:\Program\DAEMON Tools\daemon.exe" -lang 1033

"MSMSGS"="C:\Program\Messenger\msmsgs.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Hotkey"=C:\Program\Hotkey\Hotkey.exe

"RaidTool"=C:\Program\VIA\RAID\raid_tool.exe

"Sony Ericsson PC Suite"="C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

"TkBellExe"="C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

"QuickTime Task"="C:\Program\QuickTime\qttask.exe" -atboottime

"razer"=C:\Program\Razer\Copperhead\razerhid.exe

"SaiSmart"=C:\Program\Saitek\Software\SaiSmart.exe

"Alcmtr"=ALCMTR.EXE

"WinampAgent"=C:\Program\Winamp\winampa.exe

"36X Raid Configurer"=C:\WINDOWS\system32\JMRaidSetup.exe boot

 

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);C:\WINDOWS\system32\drivers\pe3ah4nc.sys [2007-05-18 20:53]

R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);C:\WINDOWS\system32\drivers\ps6ah4nc.sys [2007-05-18 20:52]

R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2005-06-20 11:53]

R3 SaiClass;SaiClass;C:\WINDOWS\system32\drivers\SaiNtBus.sys [2003-04-10 10:41]

S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);C:\WINDOWS\system32\pr2ah4nc.exe svc []

S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-26 18:12]

S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-12-04 15:59]

S3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-08-12 09:11]

S3 SaiNtHid;%SAINTHID_NAME%;C:\WINDOWS\system32\DRIVERS\SaiNtHid.sys [2003-04-10 11:42]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - D:\setup.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-26 20:44:05

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

C:\WINDOWS\system32\pmkhe.VIR:SummaryInformation 88 bytes hidden from API

C:\WINDOWS\system32\pmkhe.VIR:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 0 bytes hidden from API

 

scan completed successfully

hidden files: 2

 

**************************************************************************

.

Completion time: 2008-01-26 20:48:23 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-26 19:48:14

.

2007-11-19 01:49:33 --- E O F ---

[/log]

 

[Cecilia]

Ligger viruset inne i Antivir?

Kanske, det ser ut som att avgnt.exe kan ha blivit infekterad.

 

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen här. Upprepa med nästa filnamn.

C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\urqnopq.dll

C:\WINDOWS\system32\84b63989

C:\WINDOWS\system32\pmkhe.exe

C:\WINDOWS\system32\ctfmon .exe

C:\WINDOWS\game.ini

C:\WINDOWS\gdrv.sys

 

Vad finns i mappen C:\Temp\cXzz9 ?

 

[missBliss]

Tack för all hjälp!

Efter att ha kört filerna + ett par till som jag tyckte såg konstiga ut, och fått flera virus detections. Bestämde jag mig för att formatera.

Jag lyckades boota från cdn genom att helt enkelt koppla ur hddn tills att jag kommit in på skivan.

 

Tack igen!