Tuffaste Virus/Spyware jag någonsin stött på!!

[Victor Eklund]

Hej hej! Jag har för första gången i mitt liv fått ett virus/spyware som jag inte på egen hand klarar att vinna kriget mot.

 

Startade datorn för ca två dagar sedan och fick plötsligt ett gäng iconer på skrivbordet, typ buy free mp3s m.m

 

Jag tänkte fan också, nå jävla spyware men de e lugnt det löser vi med något av mina program som vanligt....icke!

 

Mitt antivirusprogram som för tillfället är Avira Antivirus är plötsligt inte igång och när jag försöker starta det så syns uppstartningsrutan men det stängs ner på en gång. Processen ligger i listan efter start men programmet är inte igång. Om jag klickar igen så händer samma sak och jag kan även se en ny process startad av samma typ.

 

Jaha tänker jag! då testar vi spybot search and destroy som brukar fungera bra då går inte heller det att starta. Ingenting händer om jag klickar på iconen men samma sak där, processen startas.

 

Ok jag tänker börja leta i lite mappar och se om jag kan hitta nån skum fil på min hårddisk, men icke! Så fort jag klickar på en mapp på skrivbordet så öppnas firefox och hoppar direkt till google och söker på "win32 downloader". Klickar jag på en länk i firefox eller försöker öppna en annan internetsida så laddar bara firefox i all evighet, ingenting händer.

 

Det börjar bli tjorrvigt tänker jag, en tuff match detta.

 

Jag söker lite efter en lösning på nätet med min laptop som fortfarande är frisk, jag har hittat två stycken program (ett av dom var spyware doctor) som hävdar att dom busenkelt kan ta bort detta virus (win32 downloader, vilket jag bara antar är den stora boven i dramat) genom att bara installera deras .exe fil. Jag laddar hem båda dessa men ingen av dom går att öppna och installera. Det är bara helt dött när man försöker öppna filerna.

 

Jag tänkte då att jag skulle scanna min dator med hijack this och skicka in en logg här för att få lite hjälp men tror ni då att man kan installera hijack this?? nej!! det verkar som att inte ett enda program som har med skydd från spyware och virus att göra går att öppna eller installera.

 

Kan även påpeka att jag har testa alla dessa saker i både vanligt och felsäkert läge, enda skillnad i felsäkert läge är att jag kan surfa med firefox utan att få upp en googleruta där den söker på win32 downloader. Dock går det otroligt långsamt att ladda sidor. Jag kan även utforska mappar i felsäkert läge utan att få upp min webbläsare.

 

Nu sitter jag fast, jag vet verkligen inte vad jag ska göra. Vora tacksam för lite hjälp. Några förslag om formatering behövs inte eftersom jag mycket väl vet att det kommer lösa problemet men att det inte är ett alternativ som jag vill göra just nu.

 

Mvh Victor

 

[inlägget ändrat 2009-02-13 18:45:46 av Victor Eklund]

[Zipp.]

 

Ladda ner Hijack (rensa.exe) på Skrivbordet

Om det funkar att scanna så skicka loggen som kommer ut

 

http://www.skickafilen.se/download.jsp?fileid=WUgTqMzqbAVszs7emYDM

 

[Victor Eklund]

filen rensa.exe går inte att öppna. Jag får upp en textruta där jag kan klicka accept ser jag men den stängs ner lika fort. Ser ingen ny process i listan.

 

[Zipp.]

 

Har du XP eller?

 

[Victor Eklund]

Ja det har jag, Xp pro med sp3. Jag kör just nu i felsäkert läge kan jag påpeka. Jag har även prövat med en systemåterställning men när man kommer till sista steget på den och ska klicka next för att starta återställningen händer absolut ingenting......next knappen går att klicka på men det är helt dött.

 

[Zipp.]

 

[log]Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck OK och senare Y följt av Enter för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Om SDFix inte startar automatiskt efter omstarten av datorn så startar du Runthis.bat som förut men trycker F i stället för Y.

 

Om loggen inte kommer upp automatiskt så öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i loggen i ditt svar här. [/log]

 

[Victor Eklund]

SDFix.exe går inte att öppna. Jag får en liten tanke i datorn ser jag men den försvinner lika fort. Ingen mapp skapades på C:\

 

 

Det sjuka är att om jag prövar en annan .exe fil som t ex ett spel eller ett vanligt program funkar de fint.

 

Jag funderade på om det var pga att filen ligger på skrivordet så jag testade att öppna den i en undermapp mapp men då får jag bara upp rutan att SDFix har utfört en förbjuden åtgärd och kommer att avslutas :/

[inlägget ändrat 2009-02-13 19:15:28 av Victor Eklund]

[Zipp.]

 

Skicka mail kolla den

 

[Zipp.]

 

[log]Ladda ner Avenger på Skrivbordet och packa upp filen där:

http://swandog46.geekstogo.com/avenger2/download.php

 

Starta Avenger.

Bocka i rutan Scan for rootkits och Automatically disable any rootkits found

Tryck på Execute för att starta det.

Datorn startar nu om (kanske två gånger).

Efter en liten stund så kommer loggen (C:\avenger.txt) upp, klistra in den här.[/log]

 

[Victor Eklund]

Denna .exe fil följer samma mönster som alla andra som ska kunna göra något åt detta virus/spyware. Den går inte att öppna, datorn tänker till...sen tystnad.....olidlig tystnad.

 

 

 

Får upp textrutan i början men den stängs ner fortare än kvickt.

[inlägget ändrat 2009-02-13 19:53:48 av Victor Eklund]

[Zipp.]

 

Testa om Combofix funkar enligt info på sidan men stäng inte av brandväggen

 

http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

skicka loggen som kommer ut

 

[Victor Eklund]

Just nu kör jag i felsäkert läge utan nätverk så jag har ingen uppkoppling till internet överhuvudtaget. Spelar detta någon roll?

 

 

 

Edit:Samma sak här. Programmet stängs lika fort som jag öppnar det.

 

 

 

[inlägget ändrat 2009-02-13 20:11:24 av Victor Eklund]

[Zipp.]

 

Den var seg testa detta

 

http://download.bleepingcomputer.com/sUBs/dds.scr

 

skicka DDS.txt om det funkar att köra

 

[Victor Eklund]

Hör och häpna, det fungerade! Loggen skickad till din mail.

 

[Zipp.]

 

[log]Kopiera i Kör fältet devmgmt.msc ock klicka Ok

Sen Visa > visa dolda enheter > icke plug and play drivrutiner

Leta efter dessa om synliga

 

2391f3b6

65128575

811b6551

cb691625

rkhit

 

klicka på dom och välj inaktivera

Starta om datorn och testa om Hijack funkar[/log]

 

[Victor Eklund]

Hittade endast rkhit, den är avaktiverad men Hijack this fungerar fortfarande inte. Varken install filen eller rensa.exe

 

[Zipp.]

 

Pröva att byta namn på Avenger och sen kör om den funkar

 

[Victor Eklund]

Fungerar inte tyvärr.

 

 

 

Edit: Det här måste vara Hulken av alla spywares! Det verkar som att min rubrik höll måttet.

 

Jag är ledsen att jag måste förstöra vårat fina flow här men jag måste sticka iväg nu under några timmar (ca3). Så du har lite tid att klura. Tack för all hjälp hittills och jag hoppas att vi får ordning på det här

 

 

Mvh Victor

 

 

[inlägget ändrat 2009-02-13 21:02:26 av Victor Eklund]

[Zipp.]

 

[log]Ta bort dessa filer i felsäkert läge med dolda filer synliga

 

c:\windows\system32\fejokt.dll

c:\windows\system32\spria.dll

c:\windows\system32\bdaefdaadf.dll

c:\windows\system32\crypts.dll

c:\windows\system32\khfDsqnl.dll

c:\windows\system32\uninstall.exe

c:\docume~1\ekan\applic~1\sysrc32.exe

c:\windows\system32\drivers\RKHit.sys

c:\windows\system32\drivers\2391f3b6.sys

c:\windows\system32\drivers\cb691625.sys

c:\windows\system32\drivers\811b6551.sys

c:\windows\system32\drivers\65128575.sys

 

men töm inte papperskorgen vänta med det

Starta om datorn och testa om Hijack funkar[/log]

 

[Victor Eklund]

Detta fungerade tyvärr inte, dock var det två filer som inte gick att ta bort pga dom användes av ett annat program.

 

c:\windows\system32\bdaefdaadf.dll

c:\windows\system32\crypts.dll

 

 

[Zipp.]

 

[log]Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-108

04572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

Funkar det inte så testa att byta namn på installer före du kör den och samma sak med programmet efer install[/log]

 

[Victor Eklund]

exe filen går inte att starta, det gör ingen skillnad om jag byter namn på den. Jag tror att jag fick denna fil av dig på mailen redan.

 

Klurigt dehär :/

 

[Zipp.]

 

[log]

Klurigt dehär :/

 

Visst

 

Ladda ner Gmer till Skrivbordet från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Stäng alla program.

Starta programmet gmer.exe.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Copy och klistra sedan in resultatet i ditt svar.[/log]

 

[Victor Eklund]

Går inte att öppna...

 

[Zipp.]

 

[log]Ladda ner på Skrivbordet

 

http://www.skickafilen.se/download.jsp?fileid=2abiGuTmwPVzj7TSyyE3

 

Öppna och klicka Unselect all

Sen bocka i

Recent files days old 30

Services and Drivers

Hidden objects

 

sen scanna och skicka loggen om funkar[/log]