Behöver hjälp med att få bort virus/Skadligt program

[muggeby]

Här kommer loggen ialla fall.

Gick inte komma åt den sidan så jag fick ladda på anann dator och installera via usb.

 

 

 

[log]Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

 

Hidden driver "UACd.sys" found!

ImagePath: \systemroot\system32\drivers\UAComxjecpx.sys

Start Type: 1 (System)

 

Rootkit scan completed.

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[/log]

 

[Cecilia]

Gick inte komma åt den sidan så jag fick ladda på anann dator och installera via usb.

Bra att du kom på det!

Känns inte riktigt bra att föra över filer som eventuellt är infekterade till en annan dator, men fix-program och loggar går ju bra att föra över. På den infekterade datorn är det bra om du håller internetanslutningen urdragen så mycket som möjligt.

 

Starta Enhetshanteraren som jag skrev förut och så leta efter en drivrutin som heter UACd eller UAComxjecpx och så inaktivera den. Starta om datorn och se om MBAM eller ComboFix fungerar.

 

Om inte MBAM eller ComboFix fungerar så ladda ner Gmer (gärna via den friska datorn) till Skrivbordet från en av dessa sidor:

http://www.gmer.net/

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

 

Stäng alla program.

Starta programmet gmer.exe.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Copy och klistra sedan in resultatet i ditt svar.

 

[muggeby]

 

 

 

 

[log]a-squared 4.0.0.73 2008.12.28 -

AhnLab-V3 2008.12.25.0 2008.12.27 -

AntiVir 7.9.0.45 2008.12.28 -

Authentium 5.1.0.4 2008.12.28 -

Avast 4.8.1281.0 2008.12.28 -

AVG 8.0.0.199 2008.12.28 -

BitDefender 7.2 2008.12.28 -

CAT-QuickHeal 10.00 2008.12.27 -

ClamAV 0.94.1 2008.12.28 -

Comodo 834 2008.12.28 -

DrWeb 4.44.0.09170 2008.12.28 -

eSafe 7.0.17.0 2008.12.28 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.28 -

F-Prot 4.4.4.56 2008.12.27 -

F-Secure 8.0.14332.0 2008.12.28 -

Fortinet 3.117.0.0 2008.12.28 -

GData 19 2008.12.28 -

Ikarus T3.1.1.45.0 2008.12.28 -

K7AntiVirus 7.10.568 2008.12.27 -

Kaspersky 7.0.0.125 2008.12.28 -

McAfee 5477 2008.12.28 -

McAfee+Artemis 5477 2008.12.28 -

Microsoft 1.4205 2008.12.28 -

NOD32 3719 2008.12.27 -

Norman 5.80.02 2008.12.26 -

Panda 9.0.0.4 2008.12.28 -

PCTools 4.4.2.0 2008.12.28 -

Prevx1 V2 2008.12.28 -

Rising 21.09.62.00 2008.12.28 -

SecureWeb-Gateway 6.7.6 2008.12.28 -

Sophos 4.37.0 2008.12.28 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.28 -

TheHacker 6.3.1.4.201 2008.12.28 -

TrendMicro 8.700.0.1004 2008.12.26 -

VBA32 3.12.8.10 2008.12.28 -

ViRobot 2008.12.26.1536 2008.12.26 -

VirusBuster 4.5.11.0 2008.12.28 -

[/log]

 

 

[log]a-squared 4.0.0.73 2008.12.28 -

AhnLab-V3 2008.12.25.0 2008.12.27 -

AntiVir 7.9.0.45 2008.12.28 -

Authentium 5.1.0.4 2008.12.28 -

Avast 4.8.1281.0 2008.12.28 -

AVG 8.0.0.199 2008.12.28 -

BitDefender 7.2 2008.12.28 -

CAT-QuickHeal 10.00 2008.12.27 -

ClamAV 0.94.1 2008.12.28 -

Comodo 834 2008.12.28 -

DrWeb 4.44.0.09170 2008.12.28 -

eSafe 7.0.17.0 2008.12.28 -

eTrust-Vet 31.6.6276 2008.12.24 -

Ewido 4.0 2008.12.28 -

F-Prot 4.4.4.56 2008.12.27 -

F-Secure 8.0.14332.0 2008.12.28 -

Fortinet 3.117.0.0 2008.12.28 -

GData 19 2008.12.28 -

Ikarus T3.1.1.45.0 2008.12.28 -

K7AntiVirus 7.10.568 2008.12.27 -

Kaspersky 7.0.0.125 2008.12.28 -

McAfee 5477 2008.12.28 -

McAfee+Artemis 5477 2008.12.28 -

Microsoft 1.4205 2008.12.28 -

NOD32 3719 2008.12.27 -

Norman 5.80.02 2008.12.26 -

Panda 9.0.0.4 2008.12.28 -

PCTools 4.4.2.0 2008.12.28 -

Prevx1 V2 2008.12.28 -

Rising 21.09.62.00 2008.12.28 -

SecureWeb-Gateway 6.7.6 2008.12.28 -

Sophos 4.37.0 2008.12.28 -

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2008.12.28 -

TheHacker 6.3.1.4.201 2008.12.28 -

TrendMicro 8.700.0.1004 2008.12.26 -

VBA32 3.12.8.10 2008.12.28 -

ViRobot 2008.12.26.1536 2008.12.26 -

VirusBuster 4.5.11.0 2008.12.28 -

[/log]

 

[log]a-squared 4.0.0.73 2009.01.21 -

AhnLab-V3 5.0.0.2 2009.01.21 -

AntiVir 7.9.0.57 2009.01.21 -

Authentium 5.1.0.4 2009.01.20 -

Avast 4.8.1281.0 2009.01.21 -

AVG 8.0.0.229 2009.01.21 -

BitDefender 7.2 2009.01.21 -

CAT-QuickHeal 10.00 2009.01.21 -

ClamAV 0.94.1 2009.01.21 -

Comodo 940 2009.01.21 -

DrWeb 4.44.0.09170 2009.01.21 -

eSafe 7.0.17.0 2009.01.20 -

eTrust-Vet 31.6.6319 2009.01.21 -

F-Prot 4.4.4.56 2009.01.20 -

F-Secure 8.0.14470.0 2009.01.21 -

Fortinet 3.117.0.0 2009.01.15 -

GData 19 2009.01.21 -

Ikarus T3.1.1.45.0 2009.01.21 -

K7AntiVirus 7.10.597 2009.01.21 -

Kaspersky 7.0.0.125 2009.01.21 -

McAfee 5501 2009.01.20 -

McAfee+Artemis 5501 2009.01.20 -

Microsoft 1.4205 2009.01.21 -

NOD32 3785 2009.01.21 -

Norman 5.93.01 2009.01.20 -

nProtect 2009.1.8.0 2009.01.21 -

Panda 9.5.1.2 2009.01.21 -

PCTools 4.4.2.0 2009.01.21 -

Prevx1 V2 2009.01.21 -

Rising 21.13.22.00 2009.01.21 -

SecureWeb-Gateway 6.7.6 2009.01.21 -

Sophos 4.37.0 2009.01.21 -

Sunbelt 3.2.1835.2 2009.01.16 -

Symantec 10 2009.01.21 -

TheHacker 6.3.1.5.224 2009.01.20 -

TrendMicro 8.700.0.1004 2009.01.21 -

VBA32 3.12.8.10 2009.01.21 -

ViRobot 2009.1.21.1572 2009.01.21 -

VirusBuster 4.5.11.0 2009.01.20 -

[/log]

 

[log]AhnLab-V3 2008.5.30.1 2008.06.05 -

AntiVir 7.8.0.55 2008.06.08 -

Authentium 5.1.0.4 2008.06.08 -

Avast 4.8.1195.0 2008.06.08 -

AVG 7.5.0.516 2008.06.08 -

BitDefender 7.2 2008.06.08 -

CAT-QuickHeal 9.50 2008.06.07 -

ClamAV 0.92.1 2008.06.08 -

DrWeb 4.44.0.09170 2008.06.08 -

eSafe 7.0.15.0 2008.06.05 -

eTrust-Vet 31.6.5858 2008.06.08 -

Ewido 4.0 2008.06.08 -

F-Prot 4.4.4.56 2008.06.08 -

F-Secure 6.70.13260.0 2008.06.08 -

Fortinet 3.14.0.0 2008.06.08 -

GData 2.0.7306.1023 2008.06.08 -

Ikarus T3.1.1.26.0 2008.06.08 -

Kaspersky 7.0.0.125 2008.06.08 -

McAfee 5312 2008.06.06 -

Microsoft 1.3604 2008.06.08 -

NOD32v2 3165 2008.06.06 -

Norman 5.80.02 2008.06.06 -

Panda 9.0.0.4 2008.06.08 -

Prevx1 V2 2008.06.08 -

Rising 20.47.42.00 2008.06.06 -

Sophos 4.30.0 2008.06.08 -

Sunbelt 3.0.1145.1 2008.06.05 -

Symantec 10 2008.06.08 -

TheHacker 6.2.92.339 2008.06.07 -

VBA32 3.12.6.7 2008.06.08 -

VirusBuster 4.3.26:9 2008.06.08 -

Webwasher-Gateway 6.6.2 2008.06.08 -

[/log]

 

[Cecilia]

Resultatet på virustotal såg ju bra ut.

 

[muggeby]

Jag hittade ingen av dessa drivrutin. Jag kollade på dolda filer oxå.

 

Jag laddar nu ner Gmer på friska datorn och kör sedan om det går

 

[muggeby]

Det går inte starta Gmer, vilket jag misstänkte.

 

Vad gör jag?

 

[muggeby]

Du jag tänkte höra. Jag har F-secure Telia Säker Surf, kan det göra någon nytta att ladda ner något annat program?

Eller ställer jag bara till det värre då?

 

Känner att frustrationen är inte att leka med nu, när inget går att öppna.

 

Vad tror du? Kommer det gå att fixa eller?

 

[Cecilia]

Kolla hur det går med Gmer i felsäkert läge.

 

Annars så pröva med RootkitRevealer

http://download.sysinternals.com/Files/RootkitRevealer.zip

http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx

 

 

[Cecilia]

Aldrig bra att byta antivirusprogram på en svårt infekterad dator.

Kan du skanna med F-secure i normalt eller felsäkert läge?

 

Det tar lite tid att pröva olika metoder när det är något nytt.

 

Om du har en CD med XP på så skulle du kunna installera en återställningskonsol.

 

[muggeby]

Jag kan vad jag vet bara scanna i vanligt läge med F-secure.

Jag har en cd-skiva med xp men har inte en aning om hur man gör det du föreslår.

 

Jag har scannat kanske är lika bra att säga med F-secure.

 

En Återställnings konsoll, är det något du kan hjälpa mej med eller?

 

[inlägget ändrat 2009-01-21 16:02:27 av muggeby]

[Cecilia]

Har F-secure hittat något och vad i så fall? Ju mer information jag har desto lättare blir det.

 

Kan du ha missat mitt inlägg 15:21?

 

Kolla först om du kan starta en systemåterställning:

Start - Program - Tillbehör - Systemverktyg - Systemåterställning

Finns där några systemåterställningspunkter?

 

[log]Återställningskonsol:

Du har en CD med Windows XP

Stoppa in CDn (om den börjar köra något automatiskt så stoppa det).

Start - Kör

Skriv in

x:\i386\winnt32.exe /cmdcons

där du byter ut x mot den bokstav som CDn har.

Tryck på OK

Svara Ja på frågan om du vill installera återställningskonsolen.

Programmet kommer att kontakta Microsoft för att få de senaste filerna.

Tryck på OK när det är klart.

 

För att inte Återställningskonsolen ska fråga efter ett lösenord så gör på följande sätt:

Start - Kör

regedit

Leta upp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole i vänsterkolumnen.

Ändra värdet på SecurityLevel till 1

Stäng regedit

Starta om datorn.[/log]

 

[muggeby]

Ja visst hade jag missat den å som jag kollat noga för att INTE missa något. Ledsen!!

 

Återställning går inte för jag var duktig att inaktivera det när jag skulle scanna, läste mej till att man skulle det för säkerhets skull.

Nu i efterhand kanske inte så bra kanske?

 

Jag ska köra F-secure nu igen.

Det jhittade något första gången men jag vet inte vad.

 

Återkommer när den scannat

 

[Cecilia]

Systemåterställning är bra att ha utifrån att man skulle göra något värre när man rensar. Slå på den funktionen och skapa en punkt så kan du i alla fall med hjälp av återställningskonsolen backa till nuvarande tidpunkt om något blir värre.

 

PS. Inte behöver du vara ledsen att du har missat något inlägg

 

[muggeby]

Jag fick igång RootkitRevealer och den hittade 13 st objekt.

Tas dom bort automatiskt eller?

 

Behöver du veta vad dom heter?

 

Ska jag köra F-secure nu eller göra något annat?

 

 

[Cecilia]

Du ska få fram en logg från RootkitRevealer, klistra in den.

Tillägg:

Se punkt 3 på http://forum.sysinternals.com/forum_posts.asp?TID=2351

 

Du kan skanna med F-secure medan jag kollar på resultatet av RootkitRevealer.

 

 

[inlägget ändrat 2009-01-21 17:40:52 av Cecilia]

[muggeby]

Jag har scannat med Rotkit men det kommer ingen log, gör jag så att jag klickar file-save-skrivbordet så blir det ingen log ialla fall.

 

 

 

[Cecilia]

Pröva om det går bättre att spara till USB-minnet.

Eller kan du ta en skärmdump där man kan se resultatet? Det går att bifoga en skärmdump (.jpg eller .png och inte får stor) till ett inlägg.

 

[muggeby]

Ja titta, det gick lustigt nog.

 

[log]HKU\.DEFAULT\Control Panel\International 2008-01-28 18:54 0 bytes Security mismatch.

HKU\.DEFAULT\Control Panel\International\Geo 2008-01-28 18:54 0 bytes Security mismatch.

HKU\S-1-5-21-861567501-1292428093-1801674531-1004\Control Panel\International 2008-08-08 20:53 0 bytes Security mismatch.

HKU\S-1-5-21-861567501-1292428093-1801674531-1004\Control Panel\International\Geo 2008-01-28 18:54 0 bytes Security mismatch.

HKU\S-1-5-21-861567501-1292428093-1801674531-1004\Software\Skype\Toolbars\Firefox\ExtensionVersion 2009-01-08 14:38 9 bytes Data mismatch between Windows API and raw hive data.

HKU\S-1-5-18\Control Panel\International 2008-01-28 18:54 0 bytes Security mismatch.

HKU\S-1-5-18\Control Panel\International\Geo 2008-01-28 18:54 0 bytes Security mismatch.

HKLM\SECURITY\Policy\Secrets\SAC* 2005-01-01 09:17 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 2005-01-01 09:17 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\UAC 2009-01-21 17:35 0 bytes Hidden from Windows API.

HKLM\SOFTWARE\UAC\uncc 2009-01-21 17:35 4 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet001\Services\UACd.sys 2009-01-21 17:19 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet003\Services\UACd.sys 2009-01-21 17:19 0 bytes Hidden from Windows API.

C: 1601-01-01 01:00 0 bytes Error mounting volume

[/log]

 

[muggeby]

Resultat F-secure:

 

[log]Genomsökningsrapport

den 21 januari 2009 19:44:08 - 19:50:37

Datornamn: ÅSA

Genomsökningstyp: Snabb genomsökning efter skadlig programvara

Mål: System

 

 

--------------------------------------------------------------------------------

 

Resultat: 4 skadligt program hittades

TrackingCookie.Adtech (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Adform (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Research-int (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Tradedoubler (Cookie för spårning)

Åtgärd: placerats i karantän

 

 

 

 

--------------------------------------------------------------------------------

 

Statistik

Genomsökta:

Filer: 5782

Ej genomsökta: 0

Resultat:

Virus: 0

Spionprogram: 4

Misstänkta objekt: 0

Riskware: 0

Åtgärder:

Rensad från virus: 0

Bytt namn: 0

Borttagen: 0

Placerad i karantän: 4

Misslyckades: 0

Startsektorer:

Genomsökta: 0

Angripna: 0

Misstänkta objekt: 0

Rensad från virus: 0

[/log]

 

[muggeby]

Här kommer en till scanning av F-secure.

 

[log]Genomsökningsrapport

den 21 januari 2009 19:44:08 - 19:50:37

Datornamn: ÅSA

Genomsökningstyp: Snabb genomsökning efter skadlig programvara

Mål: System

 

 

--------------------------------------------------------------------------------

 

Resultat: 4 skadligt program hittades

TrackingCookie.Adtech (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Adform (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Research-int (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Tradedoubler (Cookie för spårning)

Åtgärd: placerats i karantän

[/log]

 

[muggeby]

Och ännu en, verkar som dom kommer tillbaka hela tiden eller?

 

[log]Genomsökningsrapport

den 21 januari 2009 21:45:25 - 21:50:26

Datornamn: ÅSA

Genomsökningstyp: Snabb genomsökning efter skadlig programvara

Mål: System

 

 

--------------------------------------------------------------------------------

 

Resultat: 3 skadligt program hittades

TrackingCookie.Adtech (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Adform (Cookie för spårning)

Åtgärd: placerats i karantän

TrackingCookie.Research-int (Cookie för spårning)

Åtgärd: placerats i karantän

[/log]

 

[Cecilia]

Cookies är aldrig farliga för datorn, Adtech och Research-int kommer nog från annonser på Eforum.

 

Kan du hitta en drivrutin som heter UAC eller UNCC i Enhetshanteraren? Inaktivera den i så fall.

 

Har du fått in återställningskonsolen?

 

Så innan jag gör ett stort borttagningsskript så vill jag ha nya loggar från Avenger, SDFix och OTViewIt. Kör dem en i taget och i den ordningen.

 

[muggeby]

Nu har jag kört F-secure flera gånger och här kom ett virus.

Jag fixar nya loggar åt dej nu, återställningskonsolen har jag inte gjort än.

Ska titta på det sedan. Är det okej?

 

[log]Genomsökningsrapport

den 21 januari 2009 22:33:53 - 22:39:18

Datornamn: ÅSA

Genomsökningstyp: Snabb genomsökning efter skadlig programvara

Mål: System

 

 

--------------------------------------------------------------------------------

 

Resultat: 1 skadligt program hittades

Systemet måste startas om för att slutföra borttagningen!

Trojan.Win32.Agent (virus)

Åtgärd: MISSLYCKADES

 

 

 

 

--------------------------------------------------------------------------------

 

Statistik

Genomsökta:

Filer: 5781

Ej genomsökta: 0

Resultat:

Virus: 1

Spionprogram: 0

Misstänkta objekt: 0

Riskware: 0

Åtgärder:

Rensad från virus: 0

Bytt namn: 0

Borttagen: 0

Placerad i karantän: 0

Misslyckades: 1

Startsektorer:

Genomsökta: 0

Angripna: 0

Misstänkta objekt: 0

Rensad från virus: 0

 

 

--------------------------------------------------------------------------------

 

Alternativ

Definitionsversion:

Virus: 2009-01-21_09

Spionprogram: 2009-01-21_09

Genomsökningsmotorer:

F-Secure AVP: 7.00.171, 2009-01-21

F-Secure Hydra: 2.08.8110, 2009-01-21

Genomsökningsalternativ:

Genomsök alla filer

Genomsök arkiv

Åtgärder:

Virus: Fråga efter genomsökning

Spionprogram: Placera i karantän och ta bort

[/log]

 

[muggeby]

Gick inte redigera inlägget men jag ville bara du skulle veta att det stod att viruset bearbetades och togs bort så fort jag startade om datorn så det gjorde jag.

 

[Cecilia]

Bra att F-secure hittade något till slut. Kan du hitta någon logg eller karantän där det framgår vilken fil den tog bort?