Får inte bort virus Exploit:Java/CVE-2012-0507


Recommended Posts

Hallå,

Har problem med att få bort viruset i topic. Har haft det hängandes till och från på datorn i 4 veckor här, Microsoft Security Essentials rensar emellanåt, kan ske bara rakt upp och ner när jag är ute och surfar exempelvis på www.aftonbladet.se kom senast för en 15 min sedan. Har kört programmet "TDSKILLER" från Kaspersky i helgen och den hittade och rensade 4 filer. Malwarebytes Antimalware hittar ingenting. Har uppdaterat JAVA på datorn och installerat allt annat jag kommer på som behöver uppdateras.

Har jag glömt något? Vad mer kan jag göra? Eftersom viruset kommer tillbaka misstänker jag att Microsoft Security Essentials inte lyckas rensa bort viruset helt. Hjälp mig är ni snälla, har massvis med viktiga data på hårddisken som absolut inte får bli infekterade.

Mvh!

Link to comment
Share on other sites

Exploit:Java/CVE-2012-0507 innebär att du besöker/har besökt webbsidor som MSE anser innehåller skadlig Java-kod på så sätt att koden försöker utnyttja säkerhetshål i äldre Java-versioner.

Vad har du för Java-versioner installerade enligt Kontrollpanelen - "Program och funktioner" (Vista/7) resp. "Lägg till och ta bort program" (XP)?

Om du använder någon annan webbläsare än Internet Explorer så måste du kolla vad det är för tillägg installerade i den webbläsaren.

Vilka filer anser MSE är infekterade? I vilka mappar finns de?

Förhoppningsvis så har du TDSSKiller-loggen kvar från tillfället då den hittade 4 saker så att det går att undersöka på vilket sätt som datorn var infekterad. Klistra in innehållet i loggen, som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt, i ditt svar.

Link to comment
Share on other sites

Java 7, Version 7 bygge 4. 1.7.0_04-b22 (32-bitars)

Använder även Mozilla Firefox, men enbart för intern administration av routern, aldrig ut på internet med den.

Filer som MSE anser infekterade denna gång,

Objekt:

containerfile:C:\Users\censur\AppData\Local\Temp\jar_cache2571473428721638114.tmp

containerfile:C:\Users\censur\AppData\Local\Temp\jar_cache2770545360074115288.tmp

containerfile:C:\Users\censur\AppData\Local\Temp\jar_cache6984740834564947055.tmp

containerfile:C:\Users\censur\AppData\Local\Temp\jar_cache7858167101621522283.tmp

file:C:\Users\censur\AppData\Local\Temp\jar_cache2571473428721638114.tmp->Java/help.class

file:C:\Users\censur\AppData\Local\Temp\jar_cache2770545360074115288.tmp->Java/help.class

file:C:\Users\censur\AppData\Local\Temp\jar_cache6984740834564947055.tmp->Java/help.class

file:C:\Users\censur\AppData\Local\Temp\jar_cache7858167101621522283.tmp->Java/help.class

Log från TDSKILLER

[infectedFile]

Type: Raw image

Src: C:\Windows\System32\Drivers\sptd.sys

md5: 4b3f898dc1378ced2f35d04e5b0ce0df

[infectedFile]

Type: Raw image

Src: C:\Windows\System32\Drivers\sptd.sys

md5: 4b3f898dc1378ced2f35d04e5b0ce0df

Har ej exakt versionsnummer på TDSKILLER för den uppdaterade igår när jag skulle köra den igen,ej heller exakt tidpunkt för det.

Edited by nasarf
Link to comment
Share on other sites

Sptd.sys är inget skadligt för det är en fil som tillhör Daemon Tools eller liknande CD-emuleringsprogram. Men filen uppför sig på liknande sätt som skadliga rootkits-filer i sina försök att undkomma upptäckt av kopieringsskyddsprogram.

Hittar du mappen C:\Users\censur\AppData\Local\Temp?

Finns där några jar_cache filer?

Java 7, Version 7 bygge 4 kan inte bli infekterad av dessa skadliga filer som MSE hittar. Vet du vilken Java-version du hade tidigare?

Link to comment
Share on other sites

Konstigt, mitt inlägg försvann.

Har inte den mappen på hårddisken när jag söker efter den. Vet inte vilken version jag hade förut men det var en äldre eftersom jag kunde uppdatera java-versionen då, då är problemet alltså redan löst? Konstigt att den hittar en infektion men att bygge 4 inte ska kunna bli infekterad här då?

Link to comment
Share on other sites

Ställ in Datorn/Utforskaren så att du kan se alla filer:

Kontrollpanelen - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj skyddade operativsystemfiler

Kan du nu hitta mappen C:\Users\censur\AppData\Local\Temp?

Du får förstås byta ut censur mot ditt riktiga användarnamn.

Finns där några jar_cache filer?

Filerna kommer in så fort du surfar till en sida med den skadliga java-koden, men nu med senaste versionen av Java kan inte filerna göra något med datorn. De kan inte ändra någon Windows-fil, lägga in något i en Windows-mapp, dra igång att något skadligt startar varje gång Windows startar etc.

Med en äldre version av Java när detta började finns det en viss risk att datorn då blev infekterad så det är kanske bäst att undersöka den närmare. Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share