Jag har också problem med Security Tool.

[rickardspaghetti]

Jag fick ner Security Tool på min dator idag. Jag har försökt uppgradera mitt antivirus program, men Security Tool hindrar åtkomst och installation av nedladdade program. Vad ska jag göra?

 

[Laston]

Hej! Spara RKill av Grinler på Skrivbordet. Ladda ner det från en av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

 

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör).

Skärmen kommer att bli svart medan programmet kör.

 

Om programmet inte kan köra så berätta det.

 

Sen utan att starta om datorn så går du vidare med Malwarebytes[log]Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar[/log] Mvh Laston

 

[rickardspaghetti]

Jag har provat rkill men det fungerar inte. Jag kan heller inte komma åt mitt antivirus program eftersom Security Tool blockerar det.

 

[Laston]

Alla 4? Nej jag vet detta att det blockar ditt antivirusprogram! En annan variant är om du har ett usbminne och kan ladda ner Malwarebytes på och sen starta datorn i felsäkert läge och installera och sen köra malwarebytes,så hjälpte jag en bekant igår så detta vet jag att det fungerar om du inte har annat skräp med!

 

[rickardspaghetti]

Jag försökte starta datorn i felsäkert läge tidigare, men det gick så långsamt att jag sket i det. Ska det ta så lång tid, eller är det som jag misstänker att Security Tool blockerar felsäkert läge också? Jag kanske bara är för otålig.

 

[Laston]

Det är Security Tool som gör att det tar lite tid så du får ha lite tålamod,ska fungera att komma in i felsäkert om du inte kan få nån av rkill att fungera

 

[rickardspaghetti]

Då ska jag försöka starta i felsäkert läge igen.

 

[rickardspaghetti]

Det har tagit väldigt lång tid nu och den vägrar fortsätta. Jag tror att Security Tool blockerar felsäkert läge helt. Den går inte längre än till \Windows\system32\drivers\crcdisk.sys . Jag vet inte om det hjälper så mycket. Vad ska jag göra då?

 

[Laston]

Ok då får vi försöka i vanligt läge iallafall då,prova att ladda hem denna omdöpta version av malwarebytes så ska vi se om vi kan lura Security Tool då

http://www.skickafilen.se/download.jsp?FileId=454w8m3Nfg8iqFJUKxJ9

 

OBS INGEN ANNAN FÅR KLICKA PÅ LÄNKEN,funkar nämligen bara 1 gång!!

 

[rickardspaghetti]

Det fungerade inte. Tyvärr.

 

[Laston]

Gick det inte att få hem den?

 

[rickardspaghetti]

Jo, men den går inte att installera. Den ligger bara där i filhämtaren.

 

[Laston]

Ok kan du posta en DDS logga om det går att köra

Vi kan se vad DDS visar till att börja med. Ladda ner DDS till Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja på frågan om Optional Scan.

I ditt svar bifogar du de två loggarna DSS.txt och Attach.txt på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen nappen i Besvara-fönstret

Upprepa med nästa logg.

 

[rickardspaghetti]

Hur får jag den till skrivbordet? Den ligger bara i filhämtaren.

 

[Laston]

Kan du inte kopiera den och lägga den på skrivbordet?

 

[rickardspaghetti]

När jag högerklickar så får jag endast dessa alternativ:

 

Öppna

Öppna mapp

Gå till hämtningssidan

Kopiera filhämtningslänken

Markera allt

Ta bort från listan

 

 

De tre översta är gråa och går inte att klicka på.

 

[Laston]

Ok det verkar rätt kört med allt just nu då måste finnas annat också som ställer till detta trassel!

Om du har möjlighet att köra Drweb från din CD/DVD och rensa lite så kanske vi kan få datorn att fungera lite bättre!

http://www.freedrweb.com/livecd/how_it_works/

 

Jag tar förövrigt natt nu så vi får fortsätta im,lycka till med Drweb

 

Mvh Laston

 

Edit:du laddar alltså ner o bränner denna skiva på en annan dator då givetvis

[inlägget ändrat 2009-12-27 01:12:08 av Laston]

[rickardspaghetti]

Helt oförklarligt så har Security Tool inte gett några meddelanden eller blockerat några program nu. Jag vet inte hur det gick till. Datorn hade bara varit i vänteläge och när jag satte mig vid den så kom inget mer från Security Tool. Den finns fortfarande kvar på datorn, men jag kan nu ladda ner och köra program som kan ta bort den utan att den lägger sig i. Jag kör nu en skanning med Malwarebytes. Hoppas det funkar.

 

[Laston]

Ok då ska det nog fungera att få bort skiten,mysko du:)

 

[rickardspaghetti]

Det funkade! Security Tool(och en massa annan skit) är borta nu. Det stör mig lite hur Security Tool plötsligt slutade fungera. Det är ju bra att den slutade fungera, men jag skulle gärna vilja veta just varför.

 

[Laston]

Vad bra att du fick bort den till slut,jadu det enda jag kan tänka mig är att rkill till slut fick stopp på dessa processer annars har jag inte en susning!

Kan du posta loggan från Malwarebytes så jag får se vad den hittade ihop med logga från DDS så jag kan se att det inte finns några mer otrevligheter kvar som behöver åtgärdas!?

 

Mvh Laston

 

[rickardspaghetti]

Så här?

 

[log]Malwarebytes' Anti-Malware 1.42

Databasversion: 3440

Windows 6.0.6000

Internet Explorer 7.0.6000.16711

 

2009-12-27 20:20:05

mbam-log-2009-12-27 (20-20-05).txt

 

Skanningstyp: Fullstдndig skanning (C:\|)

Antal skannade objekt: 275988

Fцrfluten tid: 1 hour(s), 2 minute(s), 25 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 37

Infekterade registervдrden: 10

Infekterade registerdataposter: 0

Infekterade mappar: 4

Infekterade filer: 19

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bd1db05c-ac96-4de6-921c-e35569503255} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{bd1db05c-ac96-4de6-921c-e35569503255} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fb5a7529-9183-4462-ad16-dd0acdd5bc52} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{fb5a7529-9183-4462-ad16-dd0acdd5bc52} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{32d82963-445f-47fc-bad8-3caded3a6a3f} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{32d82963-445f-47fc-bad8-3caded3a6a3f} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a955abbb-51ee-404e-81e3-09f1ff3d44e2} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{a955abbb-51ee-404e-81e3-09f1ff3d44e2} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\project entropia (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{32d82963-445f-47fc-bad8-3caded3a6a3f} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

 

Infekterade registervдrden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3c9a7138 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm3fa942a4 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{32d82963-445f-47fc-bad8-3caded3a6a3f} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\94933836 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

C:\ProgramData\94933836 (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Program Files\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> Quarantined and deleted successfully.

C:\Program Files\ShoppingReport\Bin\2.5.0 (Adware.ShopperReports) -> Quarantined and deleted successfully.

 

Infekterade filer:

C:\Windows\system32\peqgvx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\Windows\System32\pvxdribd.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\Windows\System32\dbirdxvp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\Windows\System32\rsglpmxh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\Windows\System32\hxmplgsr.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\Windows\System32\mlJBRLeF.dll (Trojan.BHO.H) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZM9P8JAV\3077htsbdjyf[1].dll (Trojan.BHO.H) -> Quarantined and deleted successfully.

C:\Program Files\MindArk\Entropia Universe\Uninstall.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4OCU4C05\wcap[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Local\Temp\TMPFF92.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Local\Temp\~TM6F57.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Rickard\Desktop\Setup.exe (Adware.Seekmo) -> Quarantined and deleted successfully.

C:\Users\Rickard\Desktop\entropia_installer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\ejaiagd.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Users\Rickard\Desktop\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Windows\System32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Rickard\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

[/log]

 

 

[Laston]

Hmm det fanns en hel del mer än bara Security Tool i din dator,misstänkte det!

Fungerar felsäkert läge nu igen eller är det fortfarande problem med det?

Posta gärna DDS,vill gärna kolla så att det inte finns mer när datorn var så pass infekterad!

 

 

 

[TheAppleGuy95]

en snabb fråga är security Tool ett virus, elr vad?

 

 

[Laston]

Security Tool är ett falskt antivirusprogram, av det elakare slaget tydligen!