9 svar i den här tråden

[bobbe112]

hej på er nu har jag råkat få system fel på datorn och behöver hjälp med att försöka fixa datorn
utan att formatera den om det går.

För jag har en del viktiga saker som jag behöver ha kvar på datorn.

system felet fick jag efter att jag hämtade en fil från nätet när jag körde filen så kom det upp ett cmd fönster och
sen kom system felen så nu kommer jag inte in normalt i datorn.

filen som jag tog hem finns på följande hemsida www.thekeys.ws/?look=artister+2&type=serials
  

IRQL_NOT_LESS_OR_EQUAL

teknisk information

0x0000000a

(0x00000000, ox00000002,0x00000001,0x804f9d36)

har även testat med att städa i registret med hjälp av CCleaner men fortfrande kommer system felet upp vid uppstarten av datorn

jag är väldigt tacksam för hjälp

Mvh Tobias

Det här inlägget har redigerats av bobbe112: 03 oktober 2009 - 19:16

[Gepe]

Eftersom Ccleaner inte rensar bort virus och trojaner så hjälper det inte i ditt fall. Om du hade haft det lilla finurliga programmet WOT (Webb of trust) installerat så hade du aldrig gått in på den sidan.
Du har med största sannolikhet fått virus i datorn och det som möjligen kan hjälpa dig är att köra en virusscanning.

[Cecilia]

Tobias, kan du redigera ditt inlägg så att länken inte är klickbar, t ex genom att ta bort http://.

Jag laddade ner den filen och lät 41 olika antivirus- och antimalwareprogram kontrollera den. Det blev det här resultatet:
http://www.virustota...9877-1254591738
Där kan man se att det verkar vara en fil som infekterar datorn med en typ av virut-infektion. Det innebär att när du kör filen i datorn så kommer den att sätta igång och infektera varenda programfil (.exe-fil) som den hittar. Det finns inget annat som kan få datorn frisk än att ominstallera Windows.

Här kan man se vad som händer i datorn när filen körs:
http://www.threatexp...1d9e226cc3c9e81
Den har alltså modifierat sådana viktiga Windows-filer som t ex Anteckningar (notepad), msconfig, ctfmon.

[bobbe112]

hej efter att ha kört Malwarebytes' Anti-Malware så kommer samma fel meddelande upp när man startar upp datorn


Malwarebytes' Anti-Malware 1.36
Databasversion: 2013
Windows 5.1.2600 Service Pack 3

2009-10-03 20:40:01
mbam-log-2009-10-03 (20-40-01).txt

Skanningstyp: Fullständig skanning (C:\|)
Antal skannade objekt: 214225
Förfluten tid: 52 minute(s), 8 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 1

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
C:\WINDOWS\Farmer Jane\uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.

jag är tacksam för all hjälp

mvh Tobias

Det här inlägget har redigerats av bobbe112: 03 oktober 2009 - 20:10

[Mickilina]

Flyttar tråden där man tar emot loggar

[bobbe112]

hej här kommer även en logga från hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:31, on 2009-10-03
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Hotspot Shield\bin\openvpnas.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Hotspot Shield\HssWPR\hsssrv.exe
C:\Program\Java\jre6\bin\jqs.exe
C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Voddler\service\VNetManager.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Hotspot Shield\bin\openvpntray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: PlaySushi - {21608B66-026F-4DCB-9244-0DACA328DCED} - C:\Program\PlaySushi\PSText.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [VoddlerNet Manager] C:\Program\Voddler\service\VNetManager.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Go PlaySushi! - {5CFA5B80-01F4-420F-B18B-545712C8A1C8} - http://www.playsushi...l=3&t=nCRkgbM1L (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=58813
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2....re/HPDEXAXO.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4952D8A-5483-459F-96C2-6D1E4FAE6D73}: NameServer = 81.26.228.3,195.54.122.198
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: VoddlerNet - Voddler - C:\Program\Voddler\service\voddler.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 5500 bytes

jag är tacksam för alla hjälp

mvh Tobias

[MrO]

Hej! Varför använder du inget antivirusprogram,jag kan iallafall inte se nåt i din HJT logga!?
Testa om Drweb kan hjälpa dig,annars är det som Cecilia säger att bara installera om systemet!!
http://www.freedrweb.com/livecd/

[Cecilia]

Enligt de studier som jag har sett så kan man t ex med hjälp av t ex DrWeb få bort själva virut-infektionen, dvs Windows-filerna sprider ingen smitta längre, men de är skadade och innehåller inte det de ska längre. Datorn kommer alltså inte att fungera ordentligt.

Närmare undersökning av nedladdningsfilen visade att den inte bara innehåller en virut-infektion utan också en rejält besvärlig rootkit-infektion av TDSS-typ.

Installera om Windows!  

Därefter så var försiktig med datorn och utsätt den inte för fara. Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.
http://ceblstockholm...epages.com/home

[bobbe112]

tack för all hjälp jag formaterade om datorn så försvann allt virus och nu har jag även bytt virus program till nod32

[OlleBull]

NOD32 - Ett mycket klokt val, hoppas du blir nöjd med programmet.

Lycka till!