Just nu i M3-nätverket
Gå till innehåll
Bandre80

Hjälp! Virus, olmarik ZC

Rekommendera Poster

Om du tagit bort ComboFix, ladda hem det igen och spara det på Skrivbordet: http://download.blee...Bs/ComboFix.exe

 

Stäng av alla öppna program. Instruktioner för hur man inaktiverar antivirusprogram och antispionprogram finner du här: http://www.bleepingc...opic114351.html

 

Starta Anteckningar (Notepad).

Vista / Windows 7: Start -> börja skriva: notepad och tryck ENTER

 

Kopiera och klistra in följande kod i Notepad:

Killall::
Driver::
dknuziay
qpujn
Netsvc::
dknuziay
DDS::
uStart Page = hxxp://www.ask.com?o=14978&l=dis
uInternet Settings,ProxyServer = http=127.0.0.1:6522
FF - ProfilePath - c:\users\andr&v~1\appdata\roaming\mozilla\firefox\profiles\5egst9fp.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=BT3&o=14979&locale=en_US&apn_uid=DA68EE98-85E6-4AAB-93E6-2B71437345EA&apn_ptnrs=J7&apn_sauid=1DD61574-C139-4740-AEEE-02C3DA105B5A&apn_dtid=&q=

Notera att den sista raden här ovan sträcker sig en bit. Det är viktigt att du får med allt i en och samma rad.

Spara filen på Skrivbordet med namnet CFScript.

Dra filen CFScript med musen och släpp den ovanpå ComboFix-ikonenSkrivbordet. Detta gör att ComboFix kommer köras med de speciella instruktioner som finns i CFScript.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs. Risken finns att ComboFix hänger sig.

 

När allt är klart ska en logg komma upp. Klistra in, alternativt bifoga den, i ditt svar.

Glöm inte att aktivera antivirusprogrammet.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Allt ser bra ut. Utför samma som innan, men denna gången ändrar vi CFscriptet till följande:

Killall::
Driver::
cxru0f49

Sedan kan du ändra sökmotor i Firefox. Det gäller Ask.com som är din standardsökmotor uppe till höger i Firefox. Du kan enkelt byta standardsökmotorn om du går in på Hantera sökmotorer...

 

När ComboFix är klar med körningen av det nya CFScriptet ovan, laddar du hem TDSSKiller på nytt (en ny version som kom igår, 3:e november): http://support.kaspe.../tdsskiller.exe

 

Du kan även göra en genomsökning med NOD32 Online Scanner: http://www.eset.com/online-scanner

 

För att inte genomsökningen ska ta för lång tid på sig, inaktivera ditt antivirus under tiden.

 

Avbocka alternativet Remove found threats

Bocka i Scan Archives

 

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Tryck på Scan

 

Sist men inte minst vill jag att du bifogar loggarna från ComboFix, TDSSKiller samt NOD32 Online Scanner (C:\Program Files\Eset\Eset Online Scanner\log.txt).

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Gå till: http://www.virustotal.com

Ladda upp filen C:\Windows\system32\umb.dll

Skicka med länken till resultatet i ditt svar.

 

Gör samma sak med: C:\Windows\winsxs\x86_umb_31bf3856ad364e35_6.0.6001.18000_none_86b7486b17cbe4d9\umb.dll

 

Om du får frågan att kontrollera filen igen (om någon annan laddat upp en likadan fil), klicka på Reanalyse

 

Ladda hem SystemLook: http://jpshortstuff..../SystemLook.exe

Starta SystemLook och klistra in följande kod i programmet:

:filefind
umb.dll

Klicka på Look.

När genomsökningen är klar får du upp en logg, klistra in den i ditt svar.

Redigerad av HookProcess

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

SystemLook 04.09.10 by jpshortstuff

Log created at 16:26 on 06/11/2010 by André & Vicky

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "umb.dll"

C:\Windows\System32\umb.dll --a---- 51712 bytes [02:33 21/01/2008] [02:33 21/01/2008] (Unable to calculate MD5)

C:\Windows\winsxs\x86_umb_31bf3856ad364e35_6.0.6001.18000_none_86b7486b17cbe4d9\umb.dll --a---- 51712 bytes [02:33 21/01/2008] [02:33 21/01/2008] (Unable to calculate MD5)

 

-= EOF =-

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Testa om detta fungerar:

Gå till Start-menyn -> börja skriv: cmd, högerklicka och starta cmd som administratör.

Om du inte redan står i System32, skriv: cd c:\windows\system32

Väl där, skriv: icacls umb.dll

Testa även: icacls userinit.exe

Testa även: icacls ..\system32

 

Kopiera och klistra in svaren du får fram, i ditt svar.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Microsoft Windows [Version 6.0.6002]

Copyright © 2006 Microsoft Corporation. Med ensamrätt.

 

C:\Users\André & Vicky>

 

C:\Users\André & Vicky>cd c:\windows\system32

 

c:\Windows\System32>icacls umb.dll

umb.dll NT SERVICE\TrustedInstaller:(F)

BUILTIN\Administratörer:(RX)

NT INSTANS\SYSTEM:(RX)

BUILTIN\Användare:(RX)

 

1 filer behandlades; Det gick inte att behandla 0 filer

 

c:\Windows\System32>icacls userinit.exe

userinit.exe NT SERVICE\TrustedInstaller:(F)

BUILTIN\Administratörer:(RX)

NT INSTANS\SYSTEM:(RX)

BUILTIN\Användare:(RX)

 

1 filer behandlades; Det gick inte att behandla 0 filer

 

c:\Windows\System32>icacls ..\system32

..\system32 NT SERVICE\TrustedInstaller:(F)

NT SERVICE\TrustedInstaller:(CI)(IO)(F)

NT INSTANS\SYSTEM:(M)

NT INSTANS\SYSTEM:(OI)(CI)(IO)(F)

BUILTIN\Administratörer:(M)

BUILTIN\Administratörer:(OI)(CI)(IO)(F)

BUILTIN\Användare:(RX)

BUILTIN\Användare:(OI)(CI)(IO)(GR,GE)

SKAPARE ÄGARE:(OI)(CI)(IO)(F)

 

1 filer behandlades; Det gick inte att behandla 0 filer

 

c:\Windows\System32>

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Starta datorn i felsäkert läge.

Kan du då högerklicka på filen C:\Windows\System32\umb.dll och välja Kopiera följt av att du högerklickar på Skrivbordet och väljer Klistra in? För i så fall kan du ladda upp kopian på Skrivbordet till virustotal-sidan (i normalt läge).

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Se bifogad fil. Kopierade umb.dll till skrivbordet och laddade upp på virustotal.

Redigerad av Bandre80

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Den där Pdf-filen innehåller mycket annat än resultatet på virustotal-sidan. Vill du verkligen att dina beställningsbekräftelser ska vara åtkomliga för andra?

Du kan redigera ditt inlägg och ta bort filen.

 

Här är resultatet från virustotal: http://www.virustotal.com/file-scan/report.html?id=b5c09f59ac1ad4fdb1d2e3a70296b6199c222fee3ff6707f2171cf9aa0af838b-1289280829

 

Det står visserligen att inget program hittar något skadligt i filen men den är inte likadan som i min dator där det t ex står att den kommer från Microsoft.

 

Kopiera C:\Windows\winsxs\x86_umb_31bf3856ad364e35_6.0.6001.18000_none_86b7486b17cbe4d9\umb.dll till skrivbordet (felsäkert läge om det behövs) och ladda upp den på virustotal. En länk till resultatet önskas.

 

Skanna igenom datorn med ditt antivirusprogram så får vi se om vad det rapporterar nu. Klistra in resultatet i ditt svar.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Haha, oj, det var ju lite klantigt. Men det gör inte så mycket om folk får se att jag beställt en skruvdragare, vilken styrka jag har på linserna eller nån gammal litteraturlista. Vad jag däremot INTE vill dela med mig av är var jag brukar fiska :D

Redigerad av Bandre80

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ladda hem umb.zip: http://www.sendspace.com/file/jz4tp0

Packa upp umb.dll till C:\

Skapa ett nytt CFScript med detta innehåll:

killall::
fcopy::
C:\umb.dll | C:\Windows\System32\umb.dll
C:\umb.dll | C:\Windows\winsxs\x86_umb_31bf3856ad364e35_6.0.6001.18000_none_86b7486b17cbe4d9\umb.dll

Dra din nya CFScript till ComboFix precis som du gjort innan.

 

Sök igenom C:\Windows\ med ditt antivirus-program.

(Går lite snabbare då :))

 

Bifoga ComboFix-loggen samt loggen från genomsökningen med antiviruset.

Uppdatera gärna Malwarebytes Antimalware och kör en fullständig genomsökning, och bifoga även den loggen.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...