"Smart check"-virus - hur ta bort?


Recommended Posts

Hej.

Fick in en trojan "smart check virus" på en dator. Fick bort allt nästan.

Det som är kvar är en sträng/pekare som försöker ropa på startfilen, men vet inte hur man få bort den sista "pekaren"

Ni ser strängen "msnivt.exe". Denna ligger låst, (den körs) och går inte ta bort med varken Hijackthis, mbam eller manuellt i regedit

Har provat även i felsäkert läge, dödat några applikationer osv.. men icke..

Edited by mario
Link to comment
Share on other sites

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Edited by jarru
Link to comment
Share on other sites

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Okej. Men loadern "msnivt.exe" finns inte bland "processer eller tjänster", den kanske heter nåt annat.

Så jag vet inte vad skall stoppa.

Om man tar ut disken och stoppar i en annan datir, öppnar regedit där, sen dödar den, fungerar det tro? Utan att nåt annat kraschar.

marion

Edited by mario
Link to comment
Share on other sites

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

På så vis blir man befriad ifrån alla tänkbara risker om nu något så här efteråt skulle finnas kvar i systemet.

Kommer & tänka på tjänster men det togs ju upp tidigare, en sak som kan låsa borttagning av program & filer m.m.

Dolda processer är säkert en annan grej som många utnyttjar troligtvis.

Hittade ett program men känner inte till så mycket om dom andra som redan nämts i jämförelse med sånt som inte alla gånger är så enkelt & se i t.ex Process Explorer, tjänster skall man ju kunna spåra iaf med detta senare verktyget om någon behöver.

http://www.logixoft.com/process-revealer-free-edition.html

Verktyg för härleda och urskilja vilka tjänster som hänger samman med Windows och övriga applikationer.

http://securityxploded.com/winservicemanager.php

Sedan när något upptäcks som inte behöver va kvar, så rekommenderas nästa verktyg.

Ett av dem få jag känner till som klarar avinstallera tjänster & drivrutiner manuellt.

http://www.softpedia.com/get/Tweak/Uninstallers/TSDC-Total-Service-and-Driver-Control.shtml

Link to comment
Share on other sites

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.microsoft.com/sv-SE/windows/what-is-windows-defender-offline

Link to comment
Share on other sites

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

Nej det vill ja helst inte, det ligger alldeles för mycket installerat på den datorn.

Att en nyinstall tar bort viruset vet jag, men det var inte frågan!

Det finns c:a 25 st, fakealert trojaner, såsom "security 2009", "protection security", "smart scanner" osv...

dessa startar alltid en typ av fake-skanning vid uppstart. Och jag har alltid lyckats tvätta 100 % -igt.

Link to comment
Share on other sites

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.micro...efender-offline

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

Link to comment
Share on other sites

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingcomputer.com/download/anti-virus/combofix

Link to comment
Share on other sites

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingc...-virus/combofix

Okej, så combofix finns även till Win7 idag.

Jag körde ofta combofix på XP-tiden, och den lyckades alltid. Men ofta rensa lite för mycket, t.o.m ibland väldigt styggt, det var nackdelen. men tack för tipset, jag kör den i sista hand.

Just nu så är jag riktigt nyfiken på MS-verktyget som Andreas posta om.

Edited by mario
Link to comment
Share on other sites

Rapporten som jag lova.

[Orsak] Det finns en load-sträng i regedit som pekar på en redan borttagen trojan, så nu istället kommer det upp en felskylt (pop-up fönster)

1. Börja scanna med "Windows Defender Offline" som laddas i dosmiljö, på så sätt kan den radera nycklar i regedit

då dom inte är låsta, problemet var bara Windows Defender inte hitta strängen. Inte oväntat då deras virusprogram släppt in den.

2. "Process Explorer" och andra program hitta "load"-strängen, men lyckades inte deleta strängen fast det såg så ut.

3. Combofix våga jag inte köra, att den forcar hårt fram vet jag av erfarenhet.

Så jag tror mer på att ta ut disken och editera den i en annan dator, men det orkar jag inte nu. Då det nu är konstaterat att det bara är ett skönhetsfel

Marion tackar för visat intresse samt hjälp

Link to comment
Share on other sites

Prova RegASSASSIN.

Tack e-son, det skall jag prova nästa gång jag skall dit, men:

Jag provkörde programmet på min dator, och skall prova deleta 3d-clipboard-sträng - se bilden.

Hur skall jag skriva? Om jag gör som helpen säger, hamnar jag bara i "roten" på run?!

Edited by mario
Link to comment
Share on other sites

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Edited by e-son
Link to comment
Share on other sites

Ang. felrutan som dyker upp, skulle detta kunna tyda på att något tagits bort men att filen/källan till orsaken fortfarande ligger registrerad i systemet. Skylten försvinner när aktuell registrering tas bort - Om orsaken nu beror på detta vill säga :) Det vet man ju inte förrens man testat. Nirsoft RegDllView

Säger likadant som redan sagts, var rädd om Run så inte den försvinner, underliggande poster är ju vad som triggas vid start.

Frågan är ju då hur man ska ange en enskild post om man vill använda funktionen i programmet, möjligt man skriver strängen som i en automatisk registerfil eller ett VB script kommando i jobba gentemot registret men går ju lika bra & ta bort den manuellt som e-son nämde.

Link to comment
Share on other sites

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Jag skrev just att jag hamnar i roten på "run" - och den vill jag inte ta bort.

Så min fråga är, hur skall jag skriva i ditt program du länka till, om jag ENDAST skall deleta min clipboard-sträng?

Alltså vi leker/provar med den.. så kan jag sedan "översätta", till den datorn det gäller.

Link to comment
Share on other sites

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

Edited by e-son
Link to comment
Share on other sites

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

okej, tar detta pedagogiskt så det inte blir mer missförstånd

jag kan inte ta bort den manuellt, WINDOWS LÅSER DEN (som sagt innan) därför skall jag prova med ditt program du posta

Mao måste jag isf. ta bort hela mappen, säger du?!: windows NT/CurrentVersion - se bild/sökväg nedan:

Är det ofarligt att ta bort hela den mappen måntro?

post-6485-0-47151300-1337460335.png

Link to comment
Share on other sites

Nej, "CurrentVersion" kan du inte ta bort. Det är "Windows|Load" som skall bort. Nu har du klippt bilden lite tvärt, så jag kan inte se vad det står under "Övrigt", men jag utgår ifrån att Windows|Load är en nyckel och inte ett värde.

Nycklar står i registereditorns vänstra vy, och värden i den högra.

Är det Windows|Load som är låst, så måste du ändra ägarförhållande/behörighet som jag skrev, och du måste troligen göra det i felsäkert läge. Jag gissar att RegASSASSIN inte klarar att ta bort den i normalläge... men du kan prova i felsäkert.

Edited by e-son
Link to comment
Share on other sites

Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt. :)

http://rhack.tejpad....reg.php#keylock

Jösses Amalia, det där med behörigehet har jag missat totalt, hoppas det är där skon klämmer,

jag leta frenetiskt i blindo efter nåt annat som körd/låste i bakgrunden. Får skylla på dom där skygglapparna.

tack för tipset e-son.. lämnar rapport på måndag.

Link to comment
Share on other sites

Vilken måndag? ;)

Jodå, visst var det som du sa e-son, det var rättigheterna som saknades, så nu är alla falska pop-fönster och pekare borta.

Jag blev vilseledd och lätt grinigt uppgiven när windows poppar upp missvisande skyltar.

"Du saknar rättigheter för denna åtgärd" - skall den juuu säga.

Så jag lade all tid på att hitta tjänster som kördes i bakgrunden. Okunskap.

Det är bara så frustrerande att missa sånna här enkla saker, blivit lite väl mycket nu den sista tiden,

får skylla på "formsvacka", som Stefan Holm sa, skillnad var bara att han var född i svackan ;)

Tusen tack för hjälpen, IGEN, e-son.

Edited by mario
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share