Virushjälp

[hogans]

Någon som kan hjälpa och ge ett tips

Nu har jag ett problem med ett virus som heter enligt f-secure "Worm.Win32.Small.bk."
Som jag har plockat bort..Men som fortfarande finns kvar och är fullt verksamt *L*
Det cirkulerar runt i datorn å lever ett eget liv.Är inte fasen att bli av med det
Har provat med virusproget som är F-secure..som har lagt ett tiotal av dessa i karantän.
Men något eller några lyckas f-secure inte att fixa bort.Då byter det bara namn och så
"poff"så är det borta men det dyker alltid upp någon annanstans eller så återvänder det
till samma ställe lite senare igen..Har provat med Spybot - Search & Destroy,
 Malwarebytes' Anti-Malware, SUPERAntiSpyware, fseasyclean.F-secure onlinscan,
Problemet med dessa program är att dom hittar det inte alls.Det programet som hittar det är
f-secure som jag har installerat på datorn.Har kunnat misstänka  att det är fel på mitt f-secure
Men jag kan efter träget letande manuelt ibland lokalisera det.Så jag har sett med egna ögon när det byter namn och förflyttar sig Så det är nog inget fel på det.
Men vad jag inte kan.. så är det att ta bort det.Varken jag eller f-secure
Va fasen gör jag..Enklaste vore väl att formatera om. Men helst inte
Någon som har lust att engagera sig en liten stund så vore jag tacksam
Ska kanske påpeka att det inte ligger i några restorefiler utan det cirkulerar runt lite varstans

[927]

posta en hijackthislogg och den senaste malwarebytes loggen

[hogans]

Ok Kommer här..

Malwarebytes' Anti-Malware 1.34
Database version: 1883
Windows 5.1.2600 Service Pack 3

2009-03-22 18:34:55
mbam-log-2009-03-22 (18-34-55).txt

Scan type: Quick Scan
Objects scanned: 72487
Time elapsed: 6 minute(s), 17 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

---------------------------------------------------------------------------------

Hmmm..Men vad ska jag med en skärmsläckare till.

Filen är ju en sådan

[927]

du kan ta bort HJT loggen så inte tråden blir så lång=seg

http://download.bleepingcomputer.com/sUBs/dds.scr

spara filen på skrivbordet och kör den. det kommer skapas två loggar, du postar innehållet från den som heter dds.txt

blir loggen väldigt lång så kan du skicka upp den hit och posta länken
http://fuskbugg.se/fuskbugg/?p=upload

[hogans]

http://download.bleepingcomputer.com/sUBs/dds.scr

Hmmm..vad ska jag med en skärmsläckare till

[hogans]

Tog bort DDS logen..Behövs den igen ..lägger jag ut den igen

[927]

bocka för den här raden i HJT
020-AppInit_DLLs: c:\windows\system32\mmmvggyk.dll
klicka på knappen fix checked (spybot lär fråga om du vill tillåta ändringen, svara ja).
detta kan varit rester från ett problem som heter vundo men nåt annat finns ej, kan du skriva sökvägen till en av dessa filer f-secure hittar.

[hogans]

Ok

020-AppInit_DLLs: c:\windows\system32\mmmvggyk.dll är någonting efter en trojan.win32.Agent.bugp.... eller någonting jag inte fått bort...Men jag tror det är den som låste hela datorn.
Jag har plockat en hel del skit ur datorn innan jag behövde hjälp..
Sökvägen till "Worm.Win32.Small.bk." är
C:\Program\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe och det är den som ändrar namn och försvinner emellanåt..Då heter den .0xe
den dyker även upp i C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe då oxså som .0xe
Jag ska avinstallera dom och lägga in nyare versioner..Men jag vill ju gärna vara säker på att skiten är borta innan *L*

[927]

020 raden är ingen fil utan en post i registret, inaktivera funktionen teatimer i spybot sen kan du bocka för och fixa den här raden

det f-secre varna för ser ju ut att vara falsklarm, känns väldigt långsökt att program från google och fujitsu siemens skulle vara malware (speciellt när det står worm). möjligtvis kunde filerna varit infekterade med nåt virus fast isf hade detektionen visat virus.xxxxx
det är f-secure som oskadligör filer genom att byta namn på dom, i det här fallet från exe till 0xe

[Cecilia]

Win32.Small är väl något som används om filer som kan ladda ner andra filer från en server på internet, dvs stämmer ju bra med ett uppdateringsprogram, men naturligtvis ska inte F-secure peka ut önskade filer. Du bör rapportera det här till F-secure så att de kan uppdatera sin virusdatabas.

[hogans]

Hmm

020 raden hade jag raderat innan jag läste era svar..Hoppas det inte spelar så stor roll.Däremot sa Spybot ingenting när jag tog bort den.
Men om det är f-secure som ger falsklarm.är det då så att det är f-sec proget i datorn som det är någonting galet med ?.För kör jag en online scan på f-secure så hittar den ingenting å jag antar att det använder samma virusdatabas. Jag har gjort flera andra onlinscan från andra sidor som inte hittar någonting heller. Även använt mig av fseasyclean från f-secure med noll resultat.Utan det är bara programet i datorn som ger utslag på virus.
Jag skrev för några dagar sedan till f-secure men jag har inte fått något svar ännu
Men jag ska naturligtvis rappotera. Jag kanske ska ominstalera telia säker surf..det är ju ingen stor sak så..

[Cecilia]

Det är väl i princip samma virusdatabas i din dator och i online-skannern men de kan vara olika inställda när det gäller heuristisk sökning och vilka filer som söks igenom, t ex så är det ju inte säkert att online-skanningen kollar filer med ändelsen .0xe.

Jag vet inte hur F-secure gör, men man borde kunna skicka upp filer som misstänks vara felbedömda antingen inifrån programmet (eventuellt från karantänen) eller från en webbsida på F-secures webbplats.

[hogans]

Jo det går att skicka upp misstänkta filer..Jag har skickat en..Men jag får ju inget svar,
Jag hade en länk på min förra dator till en sida som som man kunnde skicka iväg en misstänkt fil som lästes av ett 20 tal olika virusprogram men den försvann när hdd gick sönder å sen har jag inte hittat den igen..

[Cecilia]

Du tänker kanske pål http://www.virustotal.com men företagen får ju inte reda på att deras program falsklarmar via den sidan.

[927]

ja som sagt du bör kontrollera att just dina inställningar för heuristik och det är två olika inställningar. om detta bara märks då du scannar datorn men aldrig när du öppnar en mapp så är det under scanning/scanner man får leta (det borde vara så, jag har aldrig använt f-secure). kvarstår problemet av olika anledningar så kan man även lägga till ett undantag för en mapp, tex C:\Program\Google och då kommer aldrig den mappen scannas

C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe, om den filen ändras till .0xe så dels fungerar inte den filen längre och f-secure lär aldrig varna för den igen

sen tycker jag att man bör ställa in så antivirusprogrammet frågar vad det ska göra när en fil hittas. absolut inte ha en automatisk inställning på att filer ska tas bort, däremot att flytta till karantän är ju ok men då måste man ju kolla scan rapporten noga så man ser om och vad som ev flyttats. sånna här inställningar ska inte va svåra att hitta och det ska framgå tydligt hur och vad man gör, är det inte så tycker jag man ska byta antivirusprogram

[Hel Och Ren]

Hej!

Sen vet jag att det är både lättare och säkrare att ta bort Virus i Felsäkertläge,tryck på F8 upprepade ggr under uppstart!

Men däremot kanske det INTE gäller alla Virus attacker men dom flesta!

Helren

[hogans]

Awww..Nu blev jag glad..Det var den sidan jag tappade bort Cecilia..
Det underlättar för då kan jag skicka en fil å få den scanad av flera virusprog
Larmar då merparten av dom..så behöver jag ju inte fundera..

Ska kolla inställningarna Ev så ominstallerar det..Jag har mailat f-secure om problemet
så jag tänkte jag skulle få ett svara bara. Bockar och tackar för all tid och hjälp
ni lagt ner på mig..Det är verkligen uppskattat.

[Cecilia]

Du ska dra öronen åt dig så fort som ett enda program larmar på virustotal-sidan och det finns skadliga filer då och då som inte ett enda program på virustotal-sidan reagerar på.

[927]

en ominstallation kommer troligtvis inte ändra på några inställningar (om det är detta du är ute efter)