Jo jeg har mod på at prøve lidt mere, kan i sige hvad denne/disse vira har gjort ved min pc. jeg havde netbank, men da jeg fik den første advarsel fra NIS 2008, tog jeg netstikket ud og fjernede derefter nøglefiler, foto osv.

rootkit unhooker er ikke et gyldigt win32 program, siger min pc når jeg prøver at starte det op.

Jan

Nå, så må vi prøve hvor langt Rootrepeal vil hjælpe os:

—Kør programmet igen, klik på fanebladet “Drivers”. Se om du kan finde en driver, der hedder “srosa.sys”. Hvis der gør, så højreklik på den, og vælg “Force Delete”.

—Klik på fanebladet “Processes”. Klik så på “Scan”, når den er færdig, højreklikker du på
C:\WINDOWS\system32\drivers\hldrrr.exe
...og vælger “Force Kill process, and wipe file”.

Gentag proceduren for denne fil:
C:\WINDOWS\system32\wintems.exe

Prøv så om du kan få lov til at køre Combofix eller Avenger2. Prøv evt. om det hjælper at omdøbe Avenger2. Læg resultatet herind.

Kan godt finde de 2 filer, og de forsvinder også når jeg vælger force delete and wipe, dog med en advarsel om at C:\WINDOWS\system32\wintems.exe ved wipe siger could not find file.

Hverken combofix eller avenger vil køre (win32) og det hjælper heller ikke at omdøbe filen.

Jan

Ok, jeg kan se at du har svaret ret hurtigt efter at jeg lagde indlægget. Jeg lavede en lille rettelse ret hurtigt efter at jeg havde lagt det. Har du set den del med “srosa.sys” . Hvis nej, så prøv lige at udføre hele den procedure, som jeg skrev i dét indlæg.

Hej igen

Så har jeg prøvet en gang til, men kan stadig ikke køre nogle af programmerne.

I rootrepeal under processes er der en fil der er skrevet med rødt:

PID640 C:\documents and settings\jj\application data\m\flec006.exe
status hidden from the windows API!

betyder det noget at lige den er rød.

Jan

Ja, det betyder at vi også skal have fat i den fil. Prøv dette:

—Hent dette værktøj, og gem det på dit skrivebord:
http://www.uploads.ejvindh.net/rootchk.exe

Kør programmet. Efter et par minutter vil der dukke en logfil op. Kopier indholdet af denne log herind i tråden.

—Prøv herefter at køre den procedure med Rootrepeal, som jeg lagde ovenfor, men hvor du også fixer den røde entry.

—Giver det nogen forandring?

Når jeg starter rootchk.exe køre den det første check, men går så i stå ved gmer og give windows advarsel, ikke et win32 prog.

Skal jeg prøve at force delete and wipe den røde fil(flec006)i rootrepeal?

Ja prøv det.

Sig mig også lige om rootchk havde fundet noget, inden den gik død. Hvis du ikke fik set det sidst, så prøv bare at køre den igen.

Det hjælper ikke at fjerne flec006.exe. rootchk stopper igen ved gmer.

Jeg kan kun finde dette i en filmappe fra rootchk:
Driver srosa (visible) is present. Run COMBOFIX by sUBs.
Driver srosa (visible) is present. A rootkit scan is recommended.

Driver srosa (visible) is present. Run COMBOFIX by sUBs.
Driver srosa (visible) is present. A rootkit scan is recommended.

Ja, det tænkte jeg jo nok. Det er 99% sikkert srosa, der er årsagen til problemerne. Jeg skulle bare have bekræftet at den stadig er der. Lad os lige prøve og se om Norton for en gangs skyld har lavet noget effektivt.

—Hent dette removal tool:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FxBeagle.exe
...og prøv om du kan få lov at køre det. Hvis ja, så følg instruksionerne, og se om du kan få lov til at køre Combofix bagefter.

—Derudover må du også gerne fortælle mig, hvad der er sket de gange du har “Force Deletet” srosa-driveren med Rootrepeal? Får du nogen fejlmeldinger eller lignende?

Nortons kunne godt køre og her er den log:
W32.Beagle@mm/Trojan.Tooso FixTool   1.13.0

registry: HKEY_USERS\S-1-5-21-3635256665-3203760553-4171406247-1007\SOFTWARE\DateTime4: uid (value deleted)
registry: HKEY_USERS\S-1-5-21-3635256665-3203760553-4171406247-1007\SOFTWARE\DateTime4: port (value deleted)
registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Alerter: Start (value set to 0x00000003 (3))
registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess: Start (value set to 0x00000002 (2))
registry: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv: Start (value set to 0x00000002 (2))

Når jeg har prøvet at force delete har beskederne været:
vil du gøre dette din pc vil måske gå ned.
og så en besked om at den ikke kunne finde filen på disken.
men de forsvandt fra vinduet.

før jeg kørte nortons fix, fik jeg gmer til at køre på trods af at den gav 3 advarsler om win32, og noget med gmer’s driver, vil du se logfilen herfra, den er mega lang.

jan

Det er gode nyheder at du kan få Gmer til at køre. Hvis den er så monsterlang som du siger, så prøv at uploade den her:

Læg logfilen op på peecee her:
http://peecee.dk/
...og læg den internet-adresse som du får herind bagefter.

her er så link til gmer: http://peecee.dk/upload/view/129536

det skal så siges at gmer ikke køre hvergang det bliver startet, nogle gange kan jeg lige se at det blinker på skærmen, andre gange når det lige en quick scan, for derefter at lukke, og enkle gange lykkes det så at få det til at køre.

Jan

Det ser ud til at Gmer vil kunne hjælpe os, hvis det bliver nødvendigt. Men det vil i givet fald blive lidt nørdet. I mellemtiden er jeg faldet over et muligt alternativ, der vil være mere simpelt. Lad os derfor prøve den version først:

Det er Combofix vi skal have til at køre, og det kan måske lykkes således: Højreklik på ét af disse tre links:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
...og vælg “Gem destination som” (hvis du bruger IExplorer) eller “Gem link som” (hvis du bruger firefox). Så får du mulighed for at gemme Combofix, men inden du gør det, skal du give den et nyt navn, som slet ikke minder om det oprindelige.

BEMÆRK: Det er meget vigtigt at den ikke når at komme til at hedde noget med combofix på noget tidspunkt. Du kan altså ikke gemme den først, og så omdøbe bagefter!

Gem den et sted hvor du kan finde den igen (fx. i spywarefri-mappen på skrivebordet). Når du har hentet den, så prøv om du kan få lov til at køre den. Hvis ja, så følg instruksionerne, og læg den resulterende logfil herind til gennemsyn. Hvis nej, så må jeg lige strikke noget sammen vha. Gmer.

ja, så ville combofix godt køre. den sagde at der var rootkit aktivitet og måtte genstarte 3 gange. Men en logfil kan jeg ikke finde, og alle mine quickstart ikoner er væk.

Jeg skal desværre på job nu, men vil vende tilbage i morgen formiddag, og ellers kigge lidt med her fra jobbet.

Jan