Virus, BSOD, automatisk luk |Hijackthis log|

Af Monsterbruger Cipher_dk | 24-02-2008 11:51 | 2410 visninger | 5 svar, hop til seneste

Efter jeg havde downloadet et program, som jeg aldrig skulle have downloadet, er min computer gået i spasser. Efter programmet havde installeret sig, kom der en meddelse op fra min firewall, der sagde at dette program ville have adgang. Jeg kom desværre til at give det første mindre program, inde i det store, til at få adgang. Men da jeg så så at filen, den ville have adgang med, hed noget med Trojan downloader, og agentspy begyndte jeg straks at stoppe installationen. Men det er åbenbart for sent. For det første der begyndte at ske var(i rækkefølge): 1.nogle af mine programmers .exe filer fik et ~(.exe~) til sidst, så de ikke kunne starte op. 2.scannede med spyware terminator, fandt 5 virus/malware. kunne ikke slette 1, det skulle den gøre på start op. 3. Så scannede jeg igen, efter startop, så skete der det at denne BSOD kom frem med, 0x0000007F. Så scannede jeg så i felsikkeret tilstand, og Lavasoft ad-aware 2008 fik dog også renset noget i fejl sikkeret. Det seneste der er sket, er at noget NT Authority\system har sat en automatisk, lukning af systemet ned på start op. så havde kun 60sec, inden den lukede ned. den skrev desuden denne kode: -1073741819, og det var services.exe den kørte på. Det er så holdt op, så nu har jeg tid til at skrive her inde, og få lidt hjælp på denne virus/malware, som er en sej gut. Den har slået sig ned i system32. yv12vfw.dll er fra system32 mappen, og det var vidste noget der fulgte med denne virus. Når men håber i kan hjælpe mig. Her er en Hijackthis log 2.0.2: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:27:41, on 24-02-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\acs.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmer\Bonjour\mDNSResponder.exe C:\Programmer\COMODO\Firewall\cmdagent.exe C:\Programmer\Comodo\common\CAVASpy\cavasm.exe C:\Programmer\COMODO\BackUp\CmdBkSvc.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programmer\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\svchost.exe C:\Programmer\LevelOne\ACU.exe C:\WINDOWS\stsystra.exe C:\Programmer\Comodo\Comodo AntiVirus\CMain.exe C:\Programmer\COMODO\Firewall\cfp.exe C:\Programmer\Java\jre1.6.0_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Documents and Settings\Morten Lund\Menuen Start\Programmer\Start\pcwHoverWheel.exe C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe C:\Programmer\Yahoo!\Widgets\YahooWidgets.exe C:\Programmer\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programmer\Comodo\Comodo AntiVirus\Cavaud.exe C:\Programmer\Yahoo!\Widgets\YahooWidgets.exe C:\WINDOWS\system32\rundll32.exe C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Documents and Settings\Morten Lund\Skrivebord\HiJackThis.exe C:\WINDOWS\explorer.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.dk[...] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com[...] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com[...] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com[...] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com[...] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks O4 - HKLM\..\Run: [ACU] C:\Programmer\LevelOne\ACU.exe -nogui O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [cnfgCav] "C:\Programmer\Comodo\Comodo AntiVirus\CMain.exe" O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmer\COMODO\Firewall\cfp.exe" -h O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_04\bin\jusched.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programmer\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-839522115-1993962763-2146736963-1002\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: pcwHoverWheel.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User '?') O4 - S-1-5-21-839522115-1993962763-2146736963-1002 Startup: Yahoo! Widgets.lnk = C:\Programmer\Yahoo!\Widgets\YahooWidgets.exe (User '?') O4 - Startup: pcwHoverWheel.exe O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe O4 - Startup: Yahoo! Widgets.lnk = C:\Programmer\Yahoo!\Widgets\YahooWidgets.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programmer\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com[...] O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com[...] O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: LevelOne Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmer\Bonjour\mDNSResponder.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Programmer\COMODO\Firewall\cmdagent.exe O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Programmer\Comodo\common\CAVASpy\cavasm.exe O23 - Service: ComodoBackupService - COMODO - C:\Programmer\COMODO\BackUp\CmdBkSvc.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmer\Fælles filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programmer\Spyware Terminator\sp_rsser.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 7171 bytes
--

#1
Cipher_dk
Monsterbruger
24-02-2008 12:50

Rapporter til Admin

Her er der et link til log'en hvis det er bedre: http://peecee.dk[...]
--

#2
Cipher_dk
Monsterbruger
24-02-2008 15:39

Rapporter til Admin

Ingen som kan hjælpe? Mit firefox, og IE fryser desuden fast nogle gange,efter den der virus er kommet. Det som om den blokere internet forbindelsen, hvor efter jeg skal trykke på opdatere heletiden, indtil den kommer ind på siden. hvis jeg bare lader den kører nogle gange, så finder den ikke siden, men det hjælper at opdatere den...
--

#3
*Cookie
Mega Supporter
24-02-2008 19:28

Rapporter til Admin

#0 Nu du ved, hvad der præcist forårsagede problemerne, kan du så ikke bare prøve at lave en systemgendannelse tilbage til en dato før du installerede det møg-program? Hvilket et var det egl.? Det synes jeg, du skal prøve først, for det kan nemlig godt være, at det allerede er for sent at rense PCen :o/ . ---------- Hvis systemgendannelsen ikke hjalp, så prøv dette: Hent de programmer jeg nævner nedenfor herfra: http://www.tsupport.webbyen.dk[...] Kør dem som beskrevet på TSupport – og i nedenstående rækkefølge: Genstart PC i fejlsikret tilstand og kør: - CCleaner (1) - AVG AS (3) Genstart PC i normal tilstand og kør: - ComboFix (4) - HJT (A) -------- Upload så den friske log fra HJT på peecee.dk. Logs fra AVG AS og ComboFix kan du bare kopiere direkte ind her i tråden. Skriv også gerne et par linier om, hvordan PCen opfører sig nu. //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...] ---- www.tsupport.webbyen.dk[...]

#4
Cipher_dk
Monsterbruger
24-02-2008 21:48

Rapporter til Admin

Nu er det sådan, og jeg fortryder det sådan at jeg ikke fik taget med sammen til at lave et system gendannelses punkt.. Har prøvet combofix, men den gider bare ikke at starte op. jeg har dog været inde i system32, og fjerne alle de .dll som blev oprettet i går hvor de blev installeret. Havde nemlig et problem med at en fil inde i system32, gendannede de filer som anti-spyware programmerne slettede, så de hele tiden kom igen og igen. Det er stoppet nu. Men med hensyn til combofix, så når jeg trykker på den, kom der den der loader bar, når den er færdig sker der ikke mere. Den har dog lavet en mappe inde i C:/ men der er ingen .exe filer. Og programmet starter aldrig op. Men den opfører sig nogenlunde normalt efter jeg har fjernet disse .dll og deres registreringsdatabase strenge. Internettet fryser bare ned nogle gange ned, hvor jeg så bliver nød til at refreshe browseren hele tiden, dette sker i firefox og IE. Og det er begyndt efter virussen kom.
--

#5
*Cookie
Mega Supporter
24-02-2008 22:37

Rapporter til Admin

#5 Så prøv at afinstallere og installere Combofixet igen. Når du kører det, så HUSK: VIGTIGT! Du må ikke klikke på vinduet, mens det kører, da det kan få PCen til at fryse! Når ComboFix er færdig og har genstartet, åbnes en logfil, som kan findes her >>> C:\combofix.txt ---------- Hvis det stadig ikke lykkes dig at køre det, så prøv alligevel at udføre så meget af det, jeg skrev under #3 som muligt - hvis du altså fortsat ønsker hjælp. Ellers ser du bare bort fra dette indlæg :o) ---------- Men hvis du fortsat vil prøve mit rensningsforslag, så må du helst ikke forsøge dig med at rense den på anden vis imens, da dine logs i så fald ikke viser det reelle billede af PCens programmer/processer. //*Cookie --
--
Member of Alliance of Security Analysis Professionals http://asap.maddoktor2.com[...] ---- www.tsupport.webbyen.dk[...]