Arkiverat

Detta ämne är nu arkiverat och det går inte längre svara i det.

Marion

"Smart check"-virus - hur ta bort?

Recommended Posts

Hej.

Fick in en trojan "smart check virus" på en dator. Fick bort allt nästan.

Det som är kvar är en sträng/pekare som försöker ropa på startfilen, men vet inte hur man få bort den sista "pekaren"

Ni ser strängen "msnivt.exe". Denna ligger låst, (den körs) och går inte ta bort med varken Hijackthis, mbam eller manuellt i regedit

Har provat även i felsäkert läge, dödat några applikationer osv.. men icke..

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Testat med FileASSASSIN (radera låsta filer) i MBAM / "Fler verktyg".?

Stoppa processen med Process Explorer eller Autoruns och radera ?

http://technet.micro...ernals/bb896653

http://technet.micro...s/bb963902.aspx

Linuxskiva ?

Cecilia får nog hjälpa dig annars.

Edit :

Du kan kanske kolla "beroenden" med detta, om det ej går att stopa processen :

Dependencywalker

http://www.dependencywalker.com/

Okej. Men loadern "msnivt.exe" finns inte bland "processer eller tjänster", den kanske heter nåt annat.

Så jag vet inte vad skall stoppa.

Om man tar ut disken och stoppar i en annan datir, öppnar regedit där, sen dödar den, fungerar det tro? Utan att nåt annat kraschar.

marion

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

På så vis blir man befriad ifrån alla tänkbara risker om nu något så här efteråt skulle finnas kvar i systemet.

Kommer & tänka på tjänster men det togs ju upp tidigare, en sak som kan låsa borttagning av program & filer m.m.

Dolda processer är säkert en annan grej som många utnyttjar troligtvis.

Hittade ett program men känner inte till så mycket om dom andra som redan nämts i jämförelse med sånt som inte alla gånger är så enkelt & se i t.ex Process Explorer, tjänster skall man ju kunna spåra iaf med detta senare verktyget om någon behöver.

http://www.logixoft.com/process-revealer-free-edition.html

Verktyg för härleda och urskilja vilka tjänster som hänger samman med Windows och övriga applikationer.

http://securityxploded.com/winservicemanager.php

Sedan när något upptäcks som inte behöver va kvar, så rekommenderas nästa verktyg.

Ett av dem få jag känner till som klarar avinstallera tjänster & drivrutiner manuellt.

http://www.softpedia.com/get/Tweak/Uninstallers/TSDC-Total-Service-and-Driver-Control.shtml

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.microsoft.com/sv-SE/windows/what-is-windows-defender-offline

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Om du blivit utsatt för något så är ju bästa motmedlet att försöka satsa på en ny fräsch nyinstallation.

Nej det vill ja helst inte, det ligger alldeles för mycket installerat på den datorn.

Att en nyinstall tar bort viruset vet jag, men det var inte frågan!

Det finns c:a 25 st, fakealert trojaner, såsom "security 2009", "protection security", "smart scanner" osv...

dessa startar alltid en typ av fake-skanning vid uppstart. Och jag har alltid lyckats tvätta 100 % -igt.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Om du drabbats av virus är det förnuftigt att installera om datorn. Du kan även köra Windows Defender Offline för att boota upp din dator på en skiva och där köra en skanning för att kunna bli av med skadliga program du annars har svårt att bli av med, http://windows.micro...efender-offline

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Datorns skydd var just Defender med Security Essentials.

Okej, tack för länk, jag har skapat en bootsticka med denna scanner på nu, på fredag lämnar jag rapport.

Jag skall även prova Jowas Kilswitch, återkommer om resultatet, som sagt. *thumbs up*

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingcomputer.com/download/anti-virus/combofix

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ladda ned "ComboFix" från Bleeping Computer, var noga att följa instruktionen och du blir med al sannolikhet av med eländet.

http://www.bleepingc...-virus/combofix

Okej, så combofix finns även till Win7 idag.

Jag körde ofta combofix på XP-tiden, och den lyckades alltid. Men ofta rensa lite för mycket, t.o.m ibland väldigt styggt, det var nackdelen. men tack för tipset, jag kör den i sista hand.

Just nu så är jag riktigt nyfiken på MS-verktyget som Andreas posta om.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Rapporten som jag lova.

[Orsak] Det finns en load-sträng i regedit som pekar på en redan borttagen trojan, så nu istället kommer det upp en felskylt (pop-up fönster)

1. Börja scanna med "Windows Defender Offline" som laddas i dosmiljö, på så sätt kan den radera nycklar i regedit

då dom inte är låsta, problemet var bara Windows Defender inte hitta strängen. Inte oväntat då deras virusprogram släppt in den.

2. "Process Explorer" och andra program hitta "load"-strängen, men lyckades inte deleta strängen fast det såg så ut.

3. Combofix våga jag inte köra, att den forcar hårt fram vet jag av erfarenhet.

Så jag tror mer på att ta ut disken och editera den i en annan dator, men det orkar jag inte nu. Då det nu är konstaterat att det bara är ett skönhetsfel

Marion tackar för visat intresse samt hjälp

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

En fråga.

Det gick inte att stoppa processen i Process Explorer, "Kill Process Tree" och sedan radera ?

Undrar om du har lyckats att hitta alla pekare ?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Prova RegASSASSIN.

Tack e-son, det skall jag prova nästa gång jag skall dit, men:

Jag provkörde programmet på min dator, och skall prova deleta 3d-clipboard-sträng - se bilden.

Hur skall jag skriva? Om jag gör som helpen säger, hamnar jag bara i "roten" på run?!

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ang. felrutan som dyker upp, skulle detta kunna tyda på att något tagits bort men att filen/källan till orsaken fortfarande ligger registrerad i systemet. Skylten försvinner när aktuell registrering tas bort - Om orsaken nu beror på detta vill säga :) Det vet man ju inte förrens man testat. Nirsoft RegDllView

Säger likadant som redan sagts, var rädd om Run så inte den försvinner, underliggande poster är ju vad som triggas vid start.

Frågan är ju då hur man ska ange en enskild post om man vill använda funktionen i programmet, möjligt man skriver strängen som i en automatisk registerfil eller ett VB script kommando i jobba gentemot registret men går ju lika bra & ta bort den manuellt som e-son nämde.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" kan du inte ta bort... då ryker allt som ligger i autostart, och jag är osäker på om det skapas någon ny "Run-nyckel".

Där får man istället ta bort nyckelvärden manuellt om man vill ha bort något. Är dom låsta får man kolla behörigheten på "Run" och i förekommande fall ta över ägarskap och tilldela rättigheter precis som man gör med filer.

Edit:

Ett annat sätt är att skriva en egen borttagningsfil... som detta exempel.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"3D Clipboard"=-

Jag skrev just att jag hamnar i roten på "run" - och den vill jag inte ta bort.

Så min fråga är, hur skall jag skriva i ditt program du länka till, om jag ENDAST skall deleta min clipboard-sträng?

Alltså vi leker/provar med den.. så kan jag sedan "översätta", till den datorn det gäller.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Programmet kan inte ta bort enskilda värden, bara hela nycklar, vad jag vet... därav instruktionen om manuell borttagning.

Nyckeln i första inlägget kan du dock lugnt ta bort... "Windows|Load" är en typisk malware-nyckel.

okej, tar detta pedagogiskt så det inte blir mer missförstånd

jag kan inte ta bort den manuellt, WINDOWS LÅSER DEN (som sagt innan) därför skall jag prova med ditt program du posta

Mao måste jag isf. ta bort hela mappen, säger du?!: windows NT/CurrentVersion - se bild/sökväg nedan:

Är det ofarligt att ta bort hela den mappen måntro?

post-6485-0-47151300-1337460335.png

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Nej, "CurrentVersion" kan du inte ta bort. Det är "Windows|Load" som skall bort. Nu har du klippt bilden lite tvärt, så jag kan inte se vad det står under "Övrigt", men jag utgår ifrån att Windows|Load är en nyckel och inte ett värde.

Nycklar står i registereditorns vänstra vy, och värden i den högra.

Är det Windows|Load som är låst, så måste du ändra ägarförhållande/behörighet som jag skrev, och du måste troligen göra det i felsäkert läge. Jag gissar att RegASSASSIN inte klarar att ta bort den i normalläge... men du kan prova i felsäkert.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Passade på att lägga till lite ny info på min sajt, som kanske kan vara till hjälp i det här fallet... hoppas det är begripligt. :)

http://rhack.tejpad....reg.php#keylock

Jösses Amalia, det där med behörigehet har jag missat totalt, hoppas det är där skon klämmer,

jag leta frenetiskt i blindo efter nåt annat som körd/låste i bakgrunden. Får skylla på dom där skygglapparna.

tack för tipset e-son.. lämnar rapport på måndag.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Vilken måndag? ;)

Jodå, visst var det som du sa e-son, det var rättigheterna som saknades, så nu är alla falska pop-fönster och pekare borta.

Jag blev vilseledd och lätt grinigt uppgiven när windows poppar upp missvisande skyltar.

"Du saknar rättigheter för denna åtgärd" - skall den juuu säga.

Så jag lade all tid på att hitta tjänster som kördes i bakgrunden. Okunskap.

Det är bara så frustrerande att missa sånna här enkla saker, blivit lite väl mycket nu den sista tiden,

får skylla på "formsvacka", som Stefan Holm sa, skillnad var bara att han var född i svackan ;)

Tusen tack för hjälpen, IGEN, e-son.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

  • Liknande innehåll

    • Av Appcon
      Hur i h... kan man komma ur denna knipa? Lyckligtvis har jag backuper på de flesta filer jag själv skapat.
      Men Office-paketet tex har fått sätta "livet" till.
      Finns det något sätt att fixa detta utan att betala en massa till en idiot någonstans.
      Hur jag fått skiten vet jag ej. Har köpt "TotalAV" som rensat bort en hel del skit, men filerna med ".grovas" som efternamn hur gör man här?
      SOM SAGT HJÄLP - VAD GÖR JAG?
       
      Nedanstående finner man i en  "_readme.txt " -fil som finns ite överallt.
      ATTENTION!
      Don't worry my friend, you can return all your files!
      All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      This software will decrypt all your encrypted files.
      What guarantees you have?
      You can send one of your encrypted file from your PC and we decrypt it for free.
      But we can decrypt only 1 file for free. File must not contain valuable information.
      You can get and look video overview decrypt tool:
      https://we.tl/t-hK4tAv2Ed9
      Price of private key and decrypt software is $980.
      Discount 50% available if you contact us first 72 hours, that's price for you is $490.
      Please note that you'll never restore your data without payment.
      Check your e-mail "Spam" folder if you don't get answer more than 6 hours.

      To get this software you need write on our e-mail:
      merosa@india.com
      Reserve e-mail address to contact us:
      merosa@firemail.cc
      Your personal ID:
      058dfgdgydktreco6e9qKC5tAMemk6Aen1HtdHMFcecBc4xIq3PE5sy
    • Av Sandstone50
      Nu är de daxigen - jäkla virus eller liknande   Öppnade på skoj min gamla Acer och försökte fabriksåterställa den 2 gånger men det gick inte. Istället kom det upp ett stort meddelande om att jag genast skulle ringa ett svenskt supportnummer för att datorn var hackad. Det ringde en del klockor, men eftersom numret var svenskt så ringde jag. På det svenska numret - som ringde tillbaka för en stund sedan - 0762899452- pratade man nån typ av asiatisk engelska och skulle vara representanter för Microsoft. Jag skulle i slutänden ge dom mitt kreditkortsnummer och betala för servicen med ca 1000sek. Vilket jag inte gjorde och det är jag ju så klart glad för ...
      MEN, jag skulle gärna vilja fabriksåterställa om du har nåt knep ?? Det är bara W7i den och hade ju varit bra med W10, men det är väl knappast möjligt ?? Vet inte vad som är kvar i datorn efter en återställning OM det nu skulle kunna fungera..... För övrigt var det ju ett bra tag sedan´jag´var inne på sidan, så man känner inte igen sej.
      Tack på förhand. Förväntar mej inget svar under fotbollen :-) 
    • Av hejsanhejsan
      Hej
       
      Är Outlook säkert? Ställer den automatiskt rätt IMAP,POP3 och SMTP -servrar, för man kan inte gå in och se dem?
    • Av Peder Hammarberg
      Hej!
      Blivit hjälp av Cecilia tidare för många ÅR SEN.
      Hoppas nu med. Vid uppgradering från win7(aktiverad)till 10an händer att datorn startas om men sen inget.
      Försökt kontakta Microsoft men kommer ej in på deras sidor. Dock lyckats via en länk somr rörde en Comunityfråga som jag ställt
      Här kommer länken så finns det allt skrivet där.
      http://answers.microsoft.com/sv-se/windows/forum/windows_10-win_upgrade/uppgradera-till-win10-men-vill-först-ha-en/df395b3b-de60-43ed-92e1-64ffcfed60d5
       
    • Av JoWa
      Uppdateringar för QuickTime för Windows har upphört, och alla som har QuickTime installerat råds att avinstallera det omgående.
      Alert (TA16-105A): Apple Ends Support for QuickTime for Windows; New Vulnerabilities Announced
    • Av Hej_hoj
      Hej!
       
      Har tyvärr också drabbats av detta polisvirus...
       
      Har följt instruktionerna och kört FRST scan på den infekterade datorn och fått den här textfilen:
       
       
      Vad ska jag göra härnäst?
       
       
      Tack på förhand!
       
      FRST.txt