Virus

[Liker]

Jag är en riktig nybörjare på datorer och har låtit F-Secure (Telia säker surf) genomsöka min dator och fått upp följande Virus:

Backdoor.Win32.Iroffer.1217

Trojan.BAT.Zapchast

samt

Adware.Win32.Nav

 

Den sista filen placerades i karantän men övriga är tydligen kvar. Jag har inte märkt några problem med min dator. Vad skall jag göra?

 

Tacksam för tips

 

[Cecilia]

Backdoor betyder att det är ett skadligt program som öppnar en bakdörr så att andra kan komma åt datorn utifrån internet så håll internetanslutningen urdragen så mycket som möjligt och när datorn är ren så måste du byta alla lösenord som du använder i datorn och på internet.

 

I vilka filer och mappar hittar F-secure dessa typer av skadliga filer?

Leta efter en logg eller karantän där det kan framgå.

 

Vi kan se vad HijackThis visar till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[Liker]

[log]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:14:29, on 2009-01-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre1.6.0_02\bin\jusched.exe

C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program\Telia\Supportassistent\bin\sprtcmd.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\Winamp Remote\bin\OrbTray.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Winamp Remote\bin\Orb.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsus.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

c:\program\winamp toolbar\WinampTbServer.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Java\jre1.6.0_02\bin\jucheck.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsavgui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program\Winamp Toolbar\winamptb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program\Winamp Toolbar\winamptb.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Program\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\wianmpa.exe

O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LaunchList] C:\Program\Pinnacle\Studio 11\LaunchList2.exe

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Orb] "C:\Program\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program\Delade filer\SupportSoft\bin\ssrc.exe

 

--

End of file - 9906 bytes

[/log]

 

[Cecilia]

I vilka filer och mappar hittar F-secure dessa typer av skadliga filer?

Leta efter en logg eller karantän där det kan framgå.

 

Är det meningen att det ska finnas något Symantec/Norton-program i datorn?

 

[Liker]

Hej,

 

Jättetacksam för hjälp, behöver den verkligen.

Skall försöka klistra in rapporten från F-Secure nedan. Hade tidigare en gratisvariant av Norton men har förlitat mig på Telias säkert surf med F-Secure senaste månaderna. Har säkert varit oskyddad en hel del också.

Dessa virus kan vara gamla, kan det ha hänt något jag inte märkt?

Här kommer rapporten:

 

[log]Genomsökningsrapport

den 27 januari 2009 04:20:11 - 06:02:36

Datornamn: PERDATOR

Genomsökningstyp: Utför fullständig datorkontroll

Mål: C:\ E:\ + system + rootkits

 

 

 

 

Resultat: 3 skadligt program hittades

Backdoor.Win32.Iroffer.1217 (virus)

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe\Filters.exe\svchost1.exe

Trojan.BAT.Zapchast (virus)

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe\Filters.exe\setup.bat

AdWare.Win32.NavExcel (adware)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP313\A0038052.exe Åtgärd: placerats i karantän

 

 

 

 

 

Riskware påträffades

Server-FTP.Win32.Serv-U.3017 (riskware)

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe\Filters.exe\system.exe

RemoteAdmin.Win32.RA.3826 (riskware)

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe\Filters.exe\FireDaemon.exe

RiskTool.Win32.HideWindows (riskware)

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe\Filters.exe\HIDDEN32.EXE

 

 

 

 

Statistik

Genomsökta:

Filer: 102335

Ej genomsökta: 13

Resultat:

Virus: 2

Spionprogram: 1

Misstänkta objekt: 0

Riskware: 3

Åtgärder:

Rensad från virus: 0

Bytt namn: 0

Borttagen: 0

Plac. i karantän: 1

Misslyckades: 0

Startsektorer:

Genomsökta: 3

Angripna: 0

Misstänkta objekt: 0

Rensad från virus: 0

Ej genomsökta filer:

Filen (klicka här för mer information) kan inte öppnas. C:\HIBERFIL.SYS

Filen (klicka här för mer information) kan inte öppnas. C:\PAGEFILE.SYS

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SAM

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{7C7589E1-8039-47F0-B356-BDEF546BB8B5}.BIN

En fil i arkivet E:\Mina dokument\Mina mottagna filer\cdex.rar\cdex\LocalCDDB\CDexGenres.txt går inte att öppna.

Genomsökningen av E:\Program\iTunes743Setup.exe avbröts. [F-Secure AVP]

En fil i arkivet E:\Nedladdat\Beatles 6-30-66 VCD\THE_BEATLES_6_30_66.rar\THE_BEATLES_6_30_66.bin går inte att öppna.

Genomsökningen av E:\Nedladdat\Beatles 6-30-66 VCD\THE_BEATLES_6_30_66.rar avbröts. [F-Secure AVP]

Genomsökningen av E:\Nedladdat\De.Okanda.Beatlarna.SWESUB.PDTV.XviD-C0pycu1\de.okanda.beatlarna.swesub.pdtv.xvid-c0pycu1.rar avbröts. [F-Secure AVP]

 

 

 

 

Alternativ

Definitionsversion:

Virus: 2009-01-26_10

Spionprogram: 2009-01-26_10

Genomsökningsmotorer:

F-Secure AVP: 7.00.171, 2009-01-26

F-Secure Libra: 2.04.05, 2009-01-21

F-Secure Orion: 1.02.41, 2009-01-26

F-Secure Draco: 1.01.00, 2008-12-29

F-Secure BlackLight: 2.04.1093

Genomsökningsalternativ:

Genomsök angivna filer: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX

Genomsök arkiv

Åtgärder:

Virus: Fråga efter genomsökning

Spionprogram: Fråga efter genomsökning

[/log]

Lagt till LOG-taggar

När du har klistrat in en logg så var vänlig och markera loggen och tryck sedan på LOG-knappen som finns på samma rad som i inläggsfönstret.

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2009-01-28 17:57:17 av Cecilia]

[Cecilia]

E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe

Är filen borta?

Har du installerat programmet?

 

Att hålla på med crackade program är att be om problem. Varför använda ett crackat WinRar när det finns gratis program som är minst lika bra?

 

[Liker]

Hej,

Jag vet inte om jag installerat programmet, i så fall inte avsiktligt. Vi har dock varit flera användare i familjen, jag har numer utflugna barn. Jag har tagit bort filen E:\Mina dokument\Mina mottagna filer\WinRar 4.1 Pro (with CRACK).exe nu men jag vet inte vad den användes till. Vad innebär WinRar? Behöver jag den? I så fall, vad skall jag använda i stället?

 

Skall jag lägga in log filen från F-Secure igen? Hur skall jag få bort de virus som detekteras? Går det?

 

 

[Cecilia]

WinRar är ett program som hanterar komprimerade filer av type RAR. Du kan ju se om WinRar finns någonstans i programmappen eller programmenyn.

 

Om du inte har använt WinRar någon gång så verkar det ju inte som att du behöver ett sådant program.

 

Om filen är borta så kan naturligtvis inte F-secure hitta filen så då behöver du ju inte göra något mer.

 

[Liker]

Hej igen,

 

Jag har tömt och rensat hela "mina mottagna filer" och det verkade gå bra men när jag körde F-Secures genomsökning är fortfarande mina 2 virus kvar. Vad kan jag göra för att få bort dem. WinRar är nu borta men jag vet inte om jag kommer att sakna dem.

Så här ser F-Secures loggfil ut:

[log]Genomsökningsrapport

den 28 januari 2009 22:17:12 - 23:52:15

Datornamn: PERDATOR

Genomsökningstyp: Utför fullständig datorkontroll

Mål: C:\ E:\ + system + rootkits

 

 

--------------------------------------------------------------------------------

 

Resultat: 2 skadligt program hittades

Backdoor.Win32.Iroffer.1217 (virus)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP314\A0039123.exe\Filters.exe\svchost1.exe

Trojan.BAT.Zapchast (virus)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP314\A0039123.exe\Filters.exe\setup.bat

 

 

 

--------------------------------------------------------------------------------

 

Riskware påträffades

Server-FTP.Win32.Serv-U.3017 (riskware)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP314\A0039123.exe\Filters.exe\system.exe

RemoteAdmin.Win32.RA.3826 (riskware)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP314\A0039123.exe\Filters.exe\FireDaemon.exe

RiskTool.Win32.HideWindows (riskware)

E:\System Volume Information\_restore{E731FBC3-97C4-4873-965D-1A82B06AFE51}\RP314\A0039123.exe\Filters.exe\HIDDEN32.EXE

 

 

--------------------------------------------------------------------------------

 

Statistik

Genomsökta:

Filer: 103471

Ej genomsökta: 12

Resultat:

Virus: 2

Spionprogram: 0

Misstänkta objekt: 0

Riskware: 3

Åtgärder:

Rensad från virus: 0

Bytt namn: 0

Borttagen: 0

Plac. i karantän: 0

Misslyckades: 0

Startsektorer:

Genomsökta: 3

Angripna: 0

Misstänkta objekt: 0

Rensad från virus: 0

Ej genomsökta filer:

Filen (klicka här för mer information) kan inte öppnas. C:\HIBERFIL.SYS

Filen (klicka här för mer information) kan inte öppnas. C:\PAGEFILE.SYS

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SAM

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SECURITY

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Filen (klicka här för mer information) kan inte öppnas. C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{7C7589E1-8039-47F0-B356-BDEF546BB8B5}.BIN

Genomsökningen av E:\Program\iTunes743Setup.exe avbröts. [F-Secure AVP]

En fil i arkivet E:\Nedladdat\Beatles 6-30-66 VCD\THE_BEATLES_6_30_66.rar\THE_BEATLES_6_30_66.bin går inte att öppna.

Genomsökningen av E:\Nedladdat\Beatles 6-30-66 VCD\THE_BEATLES_6_30_66.rar avbröts. [F-Secure AVP]

Genomsökningen av E:\Nedladdat\De.Okanda.Beatlarna.SWESUB.PDTV.XviD-C0pycu1\de.okanda.beatlarna.swesub.pdtv.xvid-c0pycu1.rar avbröts. [F-Secure AVP]

 

 

--------------------------------------------------------------------------------

 

Alternativ

Definitionsversion:

Virus: 2009-01-28_11

Spionprogram: 2009-01-28_11

Genomsökningsmotorer:

F-Secure AVP: 7.00.171, 2009-01-28

F-Secure Libra: 2.04.05, 2009-01-27

F-Secure Orion: 1.02.41, 2009-01-28

F-Secure Draco: 1.01.00, 2008-12-29

F-Secure BlackLight: 2.04.1093

Genomsökningsalternativ:

Genomsök angivna filer: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX

Genomsök arkiv

Åtgärder:

Virus: Fråga efter genomsökning

Spionprogram: Fråga efter genomsökning

 

--------------------------------------------------------------------------------

 

Felinformation

Felet "Det går inte att öppna filen" inträffade:

Felmeddelandet "Det går inte att öppna filen" betyder att sökmotorn inte kunde öppna en fil och att den filen inte genomsöktes. Vanligtvis kan du ignorera det här felmeddelandet eftersom det finns många skäl till att det visas som inte innebär att det finns ett säkerhetshot, till exempel:

Filen var en systemfil. Systemfiler är utformade så att de skyddas av operativsystemet. I det här fallet kan meddelandet ignoreras.

Du har inte behörighet att läsa filen. Genomsök filen genom att logga in med ett användarkonto med tillräcklig behörighet (till exempel datorns administratörskonto) och göra om genomsökningen.

Filen användes av ett program när genomsökningen gjordes. Genomsök filen genom att stänga alla program och göra om genomsökningen.

 

--------------------------------------------------------------------------------

 

Copyright © 1998-2007 Produktsupport | Skicka ett virusexempel till F-Secure

F-Secure tar inget ansvar för material som har skapats eller publicerats av tredje part som F-Secures sidor på World Wide Web innehåller länkar till. Om du inte tydligt har angett något annat godkänner du genom att skicka material till någon av våra servrar, till exempel via e-post eller via F-Secures CGI-e-post, att allt material du gör tillgängligt får publiceras på F-Secures webbsidor eller i tryckta publikationer från F-Secure. Du når F-Secures offentliga webbplats genom att klicka på någon av de understrukna länkarna. När du gör detta loggas ditt besök i vår privata åtkomststatistik med ditt domännamn. Den här informationen lämnas inte till någon tredje part. Du samtycker till att inte vidta åtgärder mot oss med hänvisning till material som du skickar in. Om du inte tydligt har angett något annat godkänner du genom att skicka in material att F-Secure är fria att använda innehållet i materialet för produkter och publikationer från F-Secure utan ansvarsskyldighet. [/log]

 

[Cecilia]

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

 

[/Thomas]

Hej!

 

F-secure webbplats är en bra utgångspunkt för att söka info om programvaran..

Om den smittade filen finns i "System restore" se:

http://support.f-secure.se/swe/corporate/virusproblem/howtoclean/cleansystemrestore.shtml för en detaljerad beskrivning av hur du då går tillväga..

 

Se därefter till att konfigurera F-secure bättre..

(Dessa tips gäller ävan andra virusskydd, som har motsvarande inställningar)

 

Högerklicka på den blå skölden vid klockan,

Välj "Öppna F-secure ...."

[log]Klicka på "länken" "Avancerat"

 

Öppna "Virusskydd & SpionProgram"

välja "ändra" och ändra "Val av virus & spionskyddsnivå" till Anpassad!

 

Klicka på "Realtidsgenomsökning"

Se till att realtidsavsökningen är AKTIVERAD!

Välj "Avsök ALLA FILER" (dvs. avsöker alla FilTyper)

Markera "Sök efter spionprogram"

Välj att inte markera "Genomsök komprimerade filer..", vilket minskar datorns belastning

Markera "Sök igenom webbtrafik"

 

Under "åtgärder" välj:

När virus hittas = "Ta bort automatiskt" (Varför behålla nya smittade filer)

När spionprogram hittas= "Ta bort automatiskt" (Varför behålla nya spionprogram!)

 

Välj även att blockera Spårningscookies

samt att visa meddelande vid genomsökning av webbtrafik

 

 

Gå därefter till Manuell genomsökning

Upprepa ovan Men AKTIVERA GENOMSÖKNING AV ALLA KOMPRIMERADE FILER (=inga undantag)

 

Gå därefter till E-postgenomsökning

Aktivera genomsökning av såväl inkommande som utgående e-post

Välj att genomsöka ALLA bilagor och genomsök komprimerade filer

 

Ange åtgärder:

Välj att bekämpa inkommande angripna bilagor

Blockera utgående angripna bilagor

samt lämna blockerad e-post i utkorgen

Visa givetvis ev. rapport!

 

Aktivera schemalagd genomsökning

varje "Valfri veckodag" varje vecka när datorn varit inaktiv i 15minuter

 

Aktivera även ev. Webbläsarkontroll + ev. systemkontroll (systemstartsändringar samt kritiska systemändringar)[/log]

 

Notera dock att det bästa skyddet mot alla typer av angrepp är att ALDRIG logga in med administrativt konto utan istället ALLTID logga alltid in med "begränsat konto" och vid behov använda "Shift" och högerklick samt "Kör som.." för att köra programinstallationer osv. med administrativa behörigheter.

Helst bör man även kombinera detta med att förstärka windows grundsäkerhetsinställningar t.ex. genom att installera via WinGuider.se, som både optimerar prestandan och kraftigt förstärker säkerheten och samtidigt gör att du kan logga in som användare helt utan problem!

 

 

/Thomas

Få ut maximalt av datorns prestanda samt slipp ideliga rensningar, ominstallationer & problem! Se http://www.WinGuider.se för gratis installationsanvisningar. Endast för XP Pro

 

[inlägget ändrat 2009-01-29 12:41:37 av /Thomas]

[inlägget ändrat 2009-01-29 12:48:00 av /Thomas]

[Liker]

Till Thomas och Cecilia!

 

Jag tror mig nu ha fått bort de infekterade filerna på min dator och F-secure är bättre konfigurerat.

Jag har inte bedömt era inlägg, har nog inte riktigt förstått hur detta funkar men ni skall veta att jag är mycket tacksam och imponerad av ert bemötande och dden hjälp jag fått.

En verkligt stor tumme upp till er bägge och ett jättetack för all hjälp!

 

Per:thumbsup:

 

[Cecilia]

Det var roligt att datorn mår bra nu.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home