Just nu i M3-nätverket
Jump to content

Apmanager.exe virus


Hudzzz

Recommended Posts

Hej!

 

Det är så att min familjs dator har drabbats av ett virus som heter AP Manager, där viruset utger sig för att vara någon slags organisation för Anti-piracy, och börjar be om pengar. I början fick man popups på skärmen och från verktygsfältet, men eftersom de inte hann säga det till mig i tid (tänkte köra mbam och ta bort det), så har det satt sig ordentligt nu.

 

Det som händer när man startat datorn är att man kommer till inloggningsskärmen, skriver in lösenordet och det ända man ser är bakgrundsbilden utan ikoner på skrivbordet, CTRL+ALT+DEL (aktivitetshanteraren) "är låst av administratören". Man kommer inte heller in på kör via windowsknapp+'r'. Jag vet inte vad jag ska göra.

Kan inte heller köra hijackthis och visa någon logg. Testat köra i felsäkert läge, händer fortfarande ingenting.

 

Några bra tips? eller är det bara att formatera om? finns en massa bilder från resor och mammas arbeten på datorn...

 

Väldigt tacksam för hjälp

 

MVH§

Link to comment
Share on other sites

Hej,

vi kan börja med följande, om det är möjligt:

Om något antivirus- eller antispionprogram har hittat något skadligt så klistra in en logg där det framgår vad som har hittats och vilka filer och mappar som är inblandade.

 

Klistra in loggen/resultatet från programmet DDS. Spara DDS på Skrivbordet.

http://download.blee...om/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

 

Obs! När du klistrar in en logg eller ett resultat i ditt inlägg använd inga knappar eller taggar utan kopiera det i programmet (oftast Anteckningar) och klistra in det direkt i rutan du skriver i.

Mvh

Mats H

Link to comment
Share on other sites

Hej,

Att köra en DDS är den initiala responsen, men följande:

 

Viket Antivirusprogram är installerat på systemet, vet du om det är/var uppdaterat?

 

Finns det en Windows CD? Viket OS är det?

 

Vad händer om du håller Ctrl nedtryckt och trycker Esc?

Vad händer om du bara håller Esc nere?

Vad händer om du håller Alt nere och trycker F4?

 

Kan du starta om och trycka upprepade gånger på F8 innan Windows laddas, och sedan välja den senaste fungerande återställningspunkten?

 

Vilken av följande kan du använda: Min dator eller Internet Explorer?

 

Är det möjligt att installera något program överhuvud taget?

 

Mvh

Mats H

Link to comment
Share on other sites

Antiviruset är NOD32, OS är Win XP. Jag vet inte om antiviruset var uppdaterat eller inte. Men det brukar vanligtvis uppdateras automatiskt.

 

 

- "Vad händer om du håller Ctrl nedtryckt och trycker Esc?

Vad händer om du bara håller Esc nere?

Vad händer om du håller Alt nere och trycker F4?"

 

Det händer ingenting när man trycker på dem.

 

Jag har försökt med senaste fungerande återställningspunkten. Det fungerar fortfarande inte...

 

 

- "Vilken av följande kan du använda: Min dator eller Internet Explorer?"

 

Varken min dator eller IE.

 

 

 

 

- "Är det möjligt att installera något program överhuvud taget?"

 

Nej, det går inte att installera någonting.

 

Är det formatering som gäller?

 

Inga andra tips? skulle verkligen uppskattas :)

 

MVH

Link to comment
Share on other sites

Går det att starta Aktivitetshanteraren (Ctrl+Shift+Esc är ett alternativ till Ctrl+Alt+Del) i felsäkert läge?

Kommer du fram till en kommandoprompt om du startar datorn i felsäkert läge med kommandotolk? Har du möjlighet att föra över filer via USB?

 

Åtminstone ska det ju inte vara något problem att rädda viktiga filer innan formateringen. Men

Link to comment
Share on other sites

Hej Cecilia,

 

Det gick inte med ctrl+shift+esc heller. Det gick dock att köra med kommandopromt. Jag har inte försökt att föra över någonting via USB eftersom jag inte har kommit någonstans med datorn.

 

Vad är nästa steg? Tror du att det kommer fungera med att föra över grejer via USB?

 

MVH

Link to comment
Share on other sites

Vi kan ju se om det går att göra något så här:

Lägg DDS-programmet på ett USB-minne.

Starta den infekterade datorn i felsäkert med kommandoläge.

Skriv dessa kommandon:

 

x:

 

där du byter ut x mot den enhetsbokstav som USB-minnet har. Följt av:

 

DDS

 

det borde starta DDS-programmet och det borde spara loggen DDS.txt på USB-minnet. Klistra in innehållet i DDS.txt i ditt svar här.

 

Om du inte vet vilken enhetsbokstav som USB-minnet brukar få så kan du pröva dig fram genom att skriva:

 

dir d:

dir e:

dir f:

 

osv tills du ser att DDS-programmet listas.

Link to comment
Share on other sites

  • 2 weeks later...

DDS (Ver_10-03-17.01) - NTFSx86 MINIMAL

Run by Administrat”r at 20:49:35,82 on 2010-05-25

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.46.1053.18.894.745 [GMT 2:00]

 

AV: ESET NOD32 antivirus system 2.70 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\system32\svchost.exe -k netsvcs

I:\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://klocka.nu/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyServer = http=127.0.0.1:5555

uInternet Settings,ProxyOverride = <local>

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://search.live.com/sphome.aspx

uURLSearchHooks: Bitlord Toolbar: {7c5c0f58-e061-457d-9033-77307f5ed00c} - c:\program\torrentman\tbTor1.dll

uURLSearchHooks: ToggleEN Toolbar: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - c:\program\toggleen\tbTog1.dll

uURLSearchHooks: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog1.dll

uURLSearchHooks: Softonic English Toolbar: {930f1200-f5f1-4870-bac6-e233ec8e7023} - c:\program\softonic_english\tbSof1.dll

uURLSearchHooks: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - c:\program\dvdvideosoft\tbDVD1.dll

mWinlogon: Taskman=c:\recycler\s-1-5-21-1673907869-4544253902-224896460-9684\mgrls32.exe

uWinlogon: Shell=c:\documents and settings\administratör\application data\armanager\apmanager.exe

BHO: ToggleEN Toolbar: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - c:\program\toggleen\tbTog1.dll

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog1.dll

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program\microsoft\search enhancement pack\search helper\SearchHelper.dll

BHO: Bitlord Toolbar: {7c5c0f58-e061-457d-9033-77307f5ed00c} - c:\program\torrentman\tbTor1.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Softonic English Toolbar: {930f1200-f5f1-4870-bac6-e233ec8e7023} - c:\program\softonic_english\tbSof1.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.5.4723.1820\swg.dll

BHO: Ask Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program\ask.com\GenericAskToolbar.dll

BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program\windows live\toolbar\wltcore.dll

BHO: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - c:\program\dvdvideosoft\tbDVD1.dll

TB: Bitlord Toolbar: {7c5c0f58-e061-457d-9033-77307f5ed00c} - c:\program\torrentman\tbTor1.dll

TB: ToggleEN Toolbar: {038cb5c7-48ea-4af9-94e0-a1646542e62b} - c:\program\toggleen\tbTog1.dll

TB: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog1.dll

TB: Softonic English Toolbar: {930f1200-f5f1-4870-bac6-e233ec8e7023} - c:\program\softonic_english\tbSof1.dll

TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program\windows live\toolbar\wltcore.dll

TB: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - c:\program\dvdvideosoft\tbDVD1.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program\google\google toolbar\GoogleToolbar_32.dll

TB: Ask Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program\ask.com\GenericAskToolbar.dll

TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - c:\program\daemon tools toolbar\DTToolbar.dll

TB: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [msnmsgr] "c:\program\windows live\messenger\msnmsgr.exe" /background

uRun: [swg] "c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [uTorrent] "c:\program\utorrent\uTorrent.exe"

uRun: [DAEMON Tools Lite] "c:\program\daemon tools lite\DTLite.exe" -autorun

uRun: [gotnewupdate.exe] c:\documents and settings\administratör\application data\adbaf03dc11c2af2fed950309c55904c\gotnewupdate.exe

uRun: [apmanager.exe] c:\documents and settings\administratör\application data\armanager\apmanager.exe silent

uRun: [sdkpajok] c:\documents and settings\administratör\lokala inställningar\application data\mybfncsbt\ckjgmtmtssd.exe

uRun: [asrkn_pfu.exe] c:\docume~1\admini~1\lokala~1\temp\asrkn_pfu.exe

mRun: [ATIPTA] "c:\program\ati technologies\ati control panel\atiptaxx.exe"

mRun: [setRefresh] c:\program\compaq\setrefresh\SetRefresh.exe

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [NokiaMServer] c:\program\delade filer\nokia\mplatform\NokiaMServer /watchfiles

mRun: [Nokia FastStart] "c:\program\nokia\nokia music\NokiaMusic.exe" /command:faststart

mRun: [nod32kui] "c:\program\eset\nod32kui.exe" /WAITSERVICE

mRun: [VoddlerNet Manager] c:\program\voddler\service\VNetManager.exe

mRun: [lsdefrag] c:\docume~1\admini~1\lokala~1\temp\axsmnocrwe.tmp

mRun: [sdkpajok] c:\documents and settings\administratör\lokala inställningar\application data\mybfncsbt\ckjgmtmtssd.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\admini~1\start-~1\program\autost~1\antima~1.lnk - c:\documents and settings\administratör\application data\adbaf03dc11c2af2fed950309c55904c\gotnewupdate.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\adober~1.lnk - c:\program\adobe\acrobat 7.0\reader\reader_sl.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\belkin~1.lnk - c:\program\belkin\f5d7050v5\Belkinwcui.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\sonicc~1.lnk - c:\program\delade filer\sonic shared\CineTray.exe

uPolicies-system: DisableTaskMgr = 1 (0x1)

mPolicies-system: DisableTaskMgr = 1 (0x1)

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Google Sidewiki... - c:\program\google\google toolbar\component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBC} - c:\program\java\jre1.5.0_03\bin\npjpi150_03.dll

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program\windows live\writer\WriterBrowserExtension.dll

LSP: c:\windows\system32\imon.dll

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} - hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Notify: AtiExtEvent - Ati2evxx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

 

============= SERVICES / DRIVERS ===============

 

S1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2009-4-19 15424]

S2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [2009-1-15 38144]

S2 FJCLSVR;Software Protect System Core Service;c:\program\delade filer\udac\sps\FJCLSVR.exe [2008-5-16 917504]

S2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-2-21 54752]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-1-29 135664]

S2 NOD32krn;NOD32 Kernel Service;c:\program\eset\nod32krn.exe [2009-4-19 549256]

S2 VoddlerNet;VoddlerNet;c:\program\voddler\service\voddler.exe [2010-3-18 1160912]

S3 BELKIN;Belkin Wireless G USB Network Adapter;c:\windows\system32\drivers\BLKWGU.sys [2009-1-15 238848]

S3 fsssvc;Tjänsten Windows Live Family Safety;c:\program\windows live\family safety\fsssvc.exe [2009-8-5 704864]

 

=============== Created Last 30 ================

 

2010-05-02 14:15:19 11392 ----a-w- c:\windows\system32\drivers\sfloppy.sys

2010-05-02 14:15:19 11392 ----a-w- c:\windows\system32\dllcache\sfloppy.sys

2010-05-02 14:15:17 46464 ----a-w- c:\windows\system32\drivers\p3.sys

2010-05-02 14:15:17 46464 ----a-w- c:\windows\system32\dllcache\p3.sys

2010-05-02 14:15:17 20480 ----a-w- c:\windows\system32\drivers\usbuhci.sys

2010-05-02 14:15:17 20480 ----a-w- c:\windows\system32\dllcache\usbuhci.sys

2010-05-02 14:15:15 11295 ----a-w- c:\windows\system32\drivers\wadv08nt.sys

2010-05-02 14:15:15 11295 ----a-w- c:\windows\system32\dllcache\wadv08nt.sys

2010-05-02 14:15:13 4992 ----a-w- c:\windows\system32\drivers\mspqm.sys

2010-05-02 14:15:13 4992 ----a-w- c:\windows\system32\dllcache\mspqm.sys

2010-05-02 14:13:58 12063 ----a-w- c:\windows\system32\drivers\wsiintxx.sys

2010-05-02 14:12:32 59904 ----a-w- c:\windows\system32\drivers\atmarpc.sys

2010-05-02 14:12:32 59904 ----a-w- c:\windows\system32\dllcache\atmarpc.sys

2010-05-02 14:12:30 14336 ----a-w- c:\windows\system32\drivers\asyncmac.sys

2010-05-02 14:12:30 14336 ----a-w- c:\windows\system32\dllcache\asyncmac.sys

2010-05-02 14:12:24 142464 ----a-w- c:\windows\system32\drivers\aec.sys

2010-05-02 14:12:24 142464 ----a-w- c:\windows\system32\dllcache\aec.sys

2010-05-02 14:12:10 0 d-----w- c:\docume~1\admini~1\applic~1\ARManager

2010-05-02 14:11:52 0 d-----w- c:\docume~1\admini~1\applic~1\ADBAF03DC11C2AF2FED950309C55904C

2010-05-01 22:48:22 0 d-----w- c:\program\Microsoft WSE

2010-05-01 22:48:02 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll

2010-05-01 22:48:00 0 d-----w- c:\windows\Logs

2010-05-01 16:05:32 0 d-----w- c:\program\DAEMON Tools Toolbar

2010-05-01 16:05:12 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2010-05-01 16:04:32 0 d-----w- c:\program\DAEMON Tools Lite

2010-05-01 16:04:15 0 d-----w- c:\docume~1\admini~1\applic~1\DAEMON Tools Lite

2010-05-01 16:04:12 0 d-----w- c:\docume~1\alluse~1\applic~1\DAEMON Tools Lite

 

==================== Find3M ====================

 

2010-05-02 14:17:40 5242880 ---ha-w- c:\documents and settings\administratör\NTUSER.DAT

2010-04-17 09:10:00 86704 ----a-w- c:\windows\system32\perfc01D.dat

2010-04-17 09:10:00 451840 ----a-w- c:\windows\system32\perfh01D.dat

 

============= FINISH: 20:51:24,79 ===============

Link to comment
Share on other sites

Hej!

Vi vill köra ComboFix också. Spara ComboFix på Skrivbordet:

http://download.blee...Bs/ComboFix.exe

 

Lägg Combofix-programmet på ett USB-minne.

Starta den infekterade datorn i felsäkert med kommandoläge.

Skriv dessa kommandon:

x:

där du byter ut x mot den enhetsbokstav som USB-minnet har. Följt av:

Combofix

det borde starta Combofix-programmet. Efter körning skriv följande kommando

copy C:\Combofix.txt x: och det borde spara loggen Combofix.txt på USB-minnet.

 

Klistra in innehållet i Combofix.txt i ditt svar här.

 

Övrigt:

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska loggen hamna på ditt USB minne.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Mvh

Mats H

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...