Snälla hjälp mig!

[TrueType]

Hej jag har en trojan på min dator som inte går att ta bort

Varje gång jag scannar så hittar den filen, men när jag tar bort den så kommer den tillbaks tills nästa gång jag scannar :/

 

[log]Den skickar så här automatiskt till alla i min kontakt lista:

haha http:/ media1.funpic.org/?video_id=PERSONENSEMAIL@hotmail.com

 

*PERSONENSEMAIL asså, t.ex om jag pratar med en som heter exempel@hotmail.com då byter den ut länken till:

haha http:// media1.funpic.org/?video_id=exempel@hotmail.com[/log]

 

vilket är mycket trist

jag fick länken av min bästakompis så jag trodde att det var något roligt för han brukar skicka filmer så.

Så det stod att man var tvungen att acceptera ett "Java program" som kanske inte var säker.

Det har kommit upp innan fast på en annan sida.

Ja och med tanke på att jag fick den av min kompis så trodde jag han hade varit inne på den så det var väl ingen fara. Och det hade han ju tydligen men det var ändå "fara".

 

Så nu till min fråga. Hur ska jag göra för att få bort skiten?

 

Förresten, någon som har något tips på något riktigt bra anti-virus program och hela köret?

 

Förresten trojanens namn är:

Trojan:Win32/Vundo.gen!R det är vad som visas.

 

[inlägget ändrat 2008-11-10 20:21:00 av TrueType]

Ändrat så att länkarna inte är klickbara

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2008-11-10 22:47:27 av Cecilia]

[flora50]

Prova att ladda ner och kör Malwarebytes' Anti-Malware:

 

http://www.malwarebytes.org/mbam.php

 

Kör snabb skanning. Efteråt, tryck Visa resultat. Om den hittar nåt, ta bort allt.

 

[Cecilia]

När du har kört det programmet så fortsätt med det här:

Ladda ner HijackThis från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[TrueType]

Tack så mycket flora50, tog bort 4 infekterade filer.

 

Och Cecilia, här är loggen som kom upp.

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:06:05, on 2008-11-11

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Logitech\G-series Software\LGDCore.exe

C:\Program\Logitech\G-series Software\LCDMon.exe

C:\program\powerstrip\pstrip.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Logitech\G-series Software\Applets\LCDClock.exe

C:\Program\Razer\Lachesis\razerhid.exe

C:\Program\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe

C:\Program\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe

C:\Program\Logitech\G-series Software\Applets\LCDMedia.exe

C:\Program\Windows Defender\MSASCui.exe

C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\program\valve\steam\steam.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program\Razer\Lachesis\OSD.exe

C:\Program\Razer\Lachesis\razertra.exe

C:\Program\Razer\Lachesis\razerofa.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\Skype\Plugin Manager\skypePM.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: (no name) - {751AFB8B-05E6-4C15-8117-8540D000AC3C} - C:\WINDOWS\system32\ljJBqnMF.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program\Logitech\G-series Software\LCDMon.exe"

O4 - HKLM\..\Run: [PowerStrip] c:\program\powerstrip\pstrip.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Lachesis] C:\Program\Razer\Lachesis\razerhid.exe

O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [AVP] "C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Add to Anti-Banner - C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\Program\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: awtuuTnK - awtuuTnK.dll (file missing)

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

 

--

End of file - 7880 bytes

[/log]

 

Hoppas det säger något.

 

[Cecilia]

Skanna med HijackThis och bocka för:

 

[log]O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: (no name) - {751AFB8B-05E6-4C15-8117-8540D000AC3C} - C:\WINDOWS\system32\ljJBqnMF.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: awtuuTnK - awtuuTnK.dll (file missing)

 

Om du själv inte har ställt in att det inte ska gå att ändra i registret så även raden:

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst

em, DisableRegedit=1[/log]

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn och kontroller själv att ovanstående rader är borta ur en ny HijackThis-logg.

 

Du kan läsa om raden

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

på http://www.bleepingcomputer.com/startups/alcmtr-240.html

 

Hur fungerar datorn nu?

 

 

[TrueType]

Ja det beror på hur du menar.

Den är nog snabbare än innan tror jag.

 

Och jaa, inga felmeddelande har kommit upp än så länge.

Och Msn vet jag inte för det tar cirka 3 timmar emellan att "den" skickar ut meddelandet.

 

Meddelar om "den" skickar igen.

 

Tack så mycket förresten! Även fast att jag inte vet vad jag gjorde.

Du har hjälpt mig förut, och jag litar på dig

 

[Cecilia]

Återkom om det blir problem för jag vet inte om MBAM tog bort allt, så om MSN fortfarande skickar länkar så får vi söka djupare i datorn.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

[TrueType]

Tackar så mycket.

 

Förresten kan virus stanna kvar även om man installerar om windows?

Om svaret är ja, kan som stanna kvar om man till och med kör "Format C:\" ?

 

[2Many2]

till och med då

 

[Cecilia]

Ska jag tolka det som att MSN fortfarande skickar ut länkar?

 

[/Thomas]

Förresten kan virus stanna kvar även om man installerar om windows?

 

Både ja och nej!

 

Det beror på om du installerade om windows utan att rensa bort din gamla partition först eller behöll partitionen och installerade över det gamla..

 

Du bör under installationens inledning ta bort den partition du haft och därefter skapat en ny, som du formaterar med NTFS..

 

Om du gör det senaste så kan inte smittor "följa med" längre efter som dessa inte finns kvar..

 

Och sedan återstår det att kontrollera & avsöka de filer du sparat undan från orginal installationen, så att inga smittor följer med den vägen!

 

 

/Thomas

Lessnat på att ideligen rensa datorn? Lägg då lite tid på att installera datorn proffsigt via http://www.winguider.se, så kan du sedan använda din tid vid datorn till att faktiskt använda datorn! Slipp alla rensningar, ominstallationer & problem!

 

[Cecilia]

Du bör under installationens inledning ta bort den partition du haft och därefter skapat en ny, som du formaterar med NTFS..

 

Om du gör det senaste så kan inte smittor "följa med" längre efter som dessa inte finns kvar..

Tar det verkligen bort skadliga ändringar av MBR?

 

[2Many2]

Håller inte med om att det hjälper att ta bort partition, skapa ny etc. Roade mig med att kolla detta precis och fast File Scavenger ännu bara kommit 2% av hela disken har den redan hittat över 1.000 av de filer den innehöll innan jag tog bort partitionen

 

[lizardKng]

Att data finns kvar fysiskt på disken spelar väl ingen roll? Är filsystemet borta är smittorna borta, de kan ju inte aktivera sig själva bara för att spåren av dem finns kvar på disken...

 

[2Many2]

så är det säkert, jag ville bara illustrera att filer på disken inte försvinner vid ompartitionering/formatering

 

[lizardKng]

Filerna försvinner men de går att gräva fram med rätt verktyg, visst är det så. Att verkligen ta bort data från disken så de inte går att gräva fram igen är verkligen inte enkelt...

 

Men i sammanhanget virus och omformattering är de borta.