"Smart check"-virus - hur ta bort?

[Marion]

Hej.

Fick in en trojan "smart check virus" på en dator. Fick bort allt nästan.

Det som är kvar är en sträng/pekare som försöker ropa på startfilen, men vet inte hur man få bort den sista "pekaren"

Ni ser strängen "msnivt.exe". Denna ligger låst, (den körs) och går inte ta bort med varken Hijackthis, mbam eller manuellt i regedit

Har provat även i felsäkert läge, dödat några applikationer osv.. men icke..

Edited May 22, 2012 by mario

[jarru]

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Edited May 16, 2012 by jarru

[Marion]

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Okej. Men loadern "msnivt.exe" finns inte bland "processer eller tjänster", den kanske heter nåt annat.

Så jag vet inte vad skall stoppa.

Om man tar ut disken och stoppar i en annan datir, öppnar regedit där, sen dödar den, fungerar det tro? Utan att nåt annat kraschar.

marion

Edited May 16, 2012 by mario

[JoWa]

Jag skulle kolla aktiva processer med KillSwitch, och autostartande processer med Autorun Analyzer. Båda dessa säger om en fil är säker, skadlig eller okänd.

Nedladdningslänkar (32- och 64-bit) här: http://www.alltomwin...er/#entry192667

[Opptokoppter]

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

På så vis blir man befriad ifrån alla tänkbara risker om nu något så här efteråt skulle finnas kvar i systemet.

Kommer & tänka på tjänster men det togs ju upp tidigare, en sak som kan låsa borttagning av program & filer m.m.

Dolda processer är säkert en annan grej som många utnyttjar troligtvis.

Hittade ett program men känner inte till så mycket om dom andra som redan nämts i jämförelse med sånt som inte alla gånger är så enkelt & se i t.ex Process Explorer, tjänster skall man ju kunna spåra iaf med detta senare verktyget om någon behöver.

http://www.logixoft.com/process-revealer-free-edition.html

Verktyg för härleda och urskilja vilka tjänster som hänger samman med Windows och övriga applikationer.

http://securityxploded.com/winservicemanager.php

Sedan när något upptäcks som inte behöver va kvar, så rekommenderas nästa verktyg.

Ett av dem få jag känner till som klarar avinstallera tjänster & drivrutiner manuellt.

http://www.softpedia.com/get/Tweak/Uninstallers/TSDC-Total-Service-and-Driver-Control.shtml

[Andreas Stenhall]

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.microsoft.com/sv-SE/windows/what-is-windows-defender-offline

[Marion]

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

Nej det vill ja helst inte, det ligger alldeles för mycket installerat på den datorn.

Att en nyinstall tar bort viruset vet jag, men det var inte frågan!

Det finns c:a 25 st, fakealert trojaner, såsom "security 2009", "protection security", "smart scanner" osv...

dessa startar alltid en typ av fake-skanning vid uppstart. Och jag har alltid lyckats tvätta 100 % -igt.

[Marion]

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.micro...efender-offline

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

[Peer E Frederik]

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingcomputer.com/download/anti-virus/combofix

[Marion]

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingc...-virus/combofix

Okej, så combofix finns även till Win7 idag.

Jag körde ofta combofix på XP-tiden, och den lyckades alltid. Men ofta rensa lite för mycket, t.o.m ibland väldigt styggt, det var nackdelen. men tack för tipset, jag kör den i sista hand.

Just nu så är jag riktigt nyfiken på MS-verktyget som Andreas posta om.

Edited May 17, 2012 by mario

[Marion]

Rapporten som jag lova.

[Orsak] Det finns en load-sträng i regedit som pekar på en redan borttagen trojan, så nu istället kommer det upp en felskylt (pop-up fönster)

1. Börja scanna med "Windows Defender Offline" som laddas i dosmiljö, på så sätt kan den radera nycklar i regedit

då dom inte är låsta, problemet var bara Windows Defender inte hitta strängen. Inte oväntat då deras virusprogram släppt in den.

2. "Process Explorer" och andra program hitta "load"-strängen, men lyckades inte deleta strängen fast det såg så ut.

3. Combofix våga jag inte köra, att den forcar hårt fram vet jag av erfarenhet.

Så jag tror mer på att ta ut disken och editera den i en annan dator, men det orkar jag inte nu. Då det nu är konstaterat att det bara är ett skönhetsfel

Marion tackar för visat intresse samt hjälp

[e-son]

Prova RegASSASSIN.

[jarru]

En fråga.

Det gick inte att stoppa processen i Process Explorer, "Kill Process Tree" och sedan radera ?

Undrar om du har lyckats att hitta alla pekare ?

[Marion]

Prova RegASSASSIN.

Tack e-son, det skall jag prova nästa gång jag skall dit, men:

Jag provkörde programmet på min dator, och skall prova deleta 3d-clipboard-sträng - se bilden.

Hur skall jag skriva? Om jag gör som helpen säger, hamnar jag bara i "roten" på run?!

Edited May 22, 2012 by mario

[e-son]

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Edited May 19, 2012 by e-son

[Opptokoppter]

Ang. felrutan som dyker upp, skulle detta kunna tyda på att något tagits bort men att filen/källan till orsaken fortfarande ligger registrerad i systemet. Skylten försvinner när aktuell registrering tas bort - Om orsaken nu beror på detta vill säga Det vet man ju inte förrens man testat. Nirsoft RegDllView

Säger likadant som redan sagts, var rädd om Run så inte den försvinner, underliggande poster är ju vad som triggas vid start.

Frågan är ju då hur man ska ange en enskild post om man vill använda funktionen i programmet, möjligt man skriver strängen som i en automatisk registerfil eller ett VB script kommando i jobba gentemot registret men går ju lika bra & ta bort den manuellt som e-son nämde.

[Marion]

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Jag skrev just att jag hamnar i roten på "run" - och den vill jag inte ta bort.

Så min fråga är, hur skall jag skriva i ditt program du länka till, om jag ENDAST skall deleta min clipboard-sträng?

Alltså vi leker/provar med den.. så kan jag sedan "översätta", till den datorn det gäller.

[e-son]

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

Edited May 19, 2012 by e-son

[Marion]

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

okej, tar detta pedagogiskt så det inte blir mer missförstånd

jag kan inte ta bort den manuellt, WINDOWS LÅSER DEN (som sagt innan) därför skall jag prova med ditt program du posta

Mao måste jag isf. ta bort hela mappen, säger du?!: windows NT/CurrentVersion - se bild/sökväg nedan:

Är det ofarligt att ta bort hela den mappen måntro?

[e-son]

Nej, "CurrentVersion" kan du inte ta bort. Det är "Windows|Load" som skall bort. Nu har du klippt bilden lite tvärt, så jag kan inte se vad det står under "Övrigt", men jag utgår ifrån att Windows|Load är en nyckel och inte ett värde.

Nycklar står i registereditorns vänstra vy, och värden i den högra.

Är det Windows|Load som är låst, så måste du ändra ägarförhållande/behörighet som jag skrev, och du måste troligen göra det i felsäkert läge. Jag gissar att RegASSASSIN inte klarar att ta bort den i normalläge... men du kan prova i felsäkert.

Edited May 20, 2012 by e-son

[e-son]

Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt.

http://rhack.tejpad.se/inforeg.php#keylock

[Marion]

Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt.

http://rhack.tejpad....reg.php#keylock

Jösses Amalia, det där med behörigehet har jag missat totalt, hoppas det är där skon klämmer,

jag leta frenetiskt i blindo efter nåt annat som körd/låste i bakgrunden. Får skylla på dom där skygglapparna.

tack för tipset e-son.. lämnar rapport på måndag.

[johnh3]

Iobit uninstaller kanske funkar:

http://www.iobit.com/advanceduninstaller.html

[e-son]

.. lämnar rapport på måndag.

Vilken måndag?

[Marion]

Vilken måndag?

Jodå, visst var det som du sa e-son, det var rättigheterna som saknades, så nu är alla falska pop-fönster och pekare borta.

Jag blev vilseledd och lätt grinigt uppgiven när windows poppar upp missvisande skyltar.

"Du saknar rättigheter för denna åtgärd" - skall den juuu säga.

Så jag lade all tid på att hitta tjänster som kördes i bakgrunden. Okunskap.

Det är bara så frustrerande att missa sånna här enkla saker, blivit lite väl mycket nu den sista tiden,

får skylla på "formsvacka", som Stefan Holm sa, skillnad var bara att han var född i svackan

Tusen tack för hjälpen, IGEN, e-son.

Edited May 23, 2012 by mario