Virusproblem!

[brainslicer]

:shock: Haha va? Jag är inte så bra på vidare bra på dom lite mer tekniska bitarna på en dator tyvärr. Men viruset är borta enligt f secure iaf.

 

hittar bios diskarna i booten då?

Du menar om jag får igång skiva när jag bootar den ?

Nee, jag menar att du ser i biosposten(svarta skärmen som kommer vid boot, där det tex räknar minnet) att det finns rätt antal diskar osv som hittas av Bios. Ditt problem var väl att WinXP skivan inte hittar diskar att installera på?

hur de ser ut är beroende på bios-fabrikat osv, men i fallet ovan är det 2st IBM-diskar +dvd-spelare +cdrw-brännare. Här(i BIOS) ska ju dina diskar synas först, annars kan du glömma att installera nåt på dom.

 

I ditt fall lär ju iaf en cd/dvd enhet synas eftersom du kan boota med winXP skivan, men ser du hårddisk:en/ar(hur många du nu har)?

[MR_Jimmy]

Nee, jag menar att du ser i biosposten(svarta skärmen som kommer vid boot, där det tex räknar minnet) att det finns rätt antal diskar osv som hittas av Bios. Ditt problem var väl att WinXP skivan inte hittar diskar att installera på?

hur de ser ut är beroende på bios-fabrikat osv, men i fallet ovan är det 2st IBM-diskar +dvd-spelare +cdrw-brännare. Här(i BIOS) ska ju dina diskar synas först, annars kan du glömma att installera nåt på dom.

 

I ditt fall lär ju iaf en cd/dvd enhet synas eftersom du kan boota med winXP skivan, men ser du hårddisk:en/ar(hur många du nu har)?

 

Menar du att bios kommer upp varje gång man startar/startar om datorn? För det kommer inte upp per automatik när jag gjorde det nyss för att testa. Ska jag gå in på något spec ställe?

[brainslicer]

Menar du att bios kommer upp varje gång man startar/startar om datorn? För det kommer inte upp per automatik när jag gjorde det nyss för att testa. Ska jag gå in på något spec ställe?

 

Gå in i Bios o titta om diskarna syns då(där kan du även ställa in om Bios ska synas i uppstarten)

då kan de se ut så(beroende på bios/moderkort) på bilden bara en disk som primary master

 

 

edit: F2 eller DEL brukar vara dom vanligaste tangenterna för att komma in i Bios(funkar inte dom får du leta i nån manual för moderkortet)

 

ställ inte till med nå fanskap bara , o andra sidan kan de väl knappast bli värre än va de e nu...då du inte får winXP installerat ens..hehe

[MR_Jimmy]

 

Det borde väl säga att den hittar disken, datorn fungerar felfritt förövrigt, har inte varit några större bekymmer sedan den införskaffades. Har dock segat till sig en aning.

[brainslicer]

Det borde väl säga att den hittar disken, datorn fungerar felfritt förövrigt, har inte varit några större bekymmer sedan den införskaffades. Har dock segat till sig en aning.

 

asså fungerar datorn? trodde win XP installations progget visade inga diskar?

[MR_Jimmy]

asså fungerar datorn? trodde win XP installations progget visade inga diskar?

 

Hehe ja datorn fungerar klockrent, sånär på att den är seg. Det är enbart inne i bios (bilden jag postade på sweclockers) den säger att där inte finns några diskar. Any clue?

[brainslicer]

Men du skrev de där innan???

Får bli en en formatering! Det kom upp igen nu exakt samma jävla skit trojan, fescure varnar att den har upptäckt blabla...

...så jag antog du hade tagit bort partitioner när jag läste sweclockersposten, och försökte formatera/installare WinXP på en tom maskin nu???

 

...om fallet e som ovan(malwaren kommer tillbaka varje start, du hindras göra nåt på disken), du kan ha nåt skit i mbr på disken som hindrar windows att installeras....(när datorn startar o bootar från c: läses mbr in, är det ett virus där, så är det i minnet nu...när windows startar så är windows smittat igen....spelar ingen roll hur mycke du deletar med f-secure ...nästa boot är det tillbaka...följ råden i hur återställa mbr på f-secures sida då(var länkat till tidigare) ....kort sagt: om din mbr är smittad, måste du boota datorn från en frisk mbr på annan enhet(annars har du viruset i minnet så fort du trycker på On-knappen, fixa den trasiga/smittade mbr:n, ta bort partitioner, lägga till ny partition o formatarer, installera OS

 

sedan fick du ett bra råd i sweclockers tråden:

SVAR: Blåskärm: PAGE_FAULT_IN_NONPAGED_AREA

Testa minne och hårddisk.

 

Hårddiskar kontrollerar man med testprogram som man laddar ner från hårddisktillverkarens webb och lägger på bootbar diskett/CD. En del tillverkares testprogram finns samlade på den här nedladdningsbara bootbara CDn:

http://www.ultimatebootcd.com/

 

På den CDn finns också minnestestprogram, vilket också kan laddas ner här:

http://www.memtest86.com/

för diskett eller CD.

 

obs: du stänger väl av datorn helt, o kallstartar den från winxp cd-skivan när du försöker formatera osv??(så inget skit som kan råka finnas på c: läses in),

 

använd även andra virus scanrar(finns flera gratis online) och nån rootkit scanner om du inte blir av med skiten, kan dyka upp nåt annat som f-secure missat.

[MR_Jimmy]

Men du skrev de där innan???

...så jag antog du hade tagit bort partitioner när jag läste sweclockersposten, och försökte formatera/installare WinXP på en tom maskin nu???

 

...om fallet e som ovan(malwaren kommer tillbaka varje start, du hindras göra nåt på disken), du kan ha nåt skit i mbr på disken som hindrar windows att installeras....(när datorn startar o bootar från c: läses mbr in, är det ett virus där, så är det i minnet nu...när windows startar så är windows smittat igen....spelar ingen roll hur mycke du deletar med f-secure ...nästa boot är det tillbaka...följ råden i hur återställa mbr på f-secures sida då(var länkat till tidigare)

 

sedan fick du ett bra råd i sweclockers tråden:

SVAR: Blåskärm: PAGE_FAULT_IN_NONPAGED_AREA

 

 

 

obs: du stänger väl av datorn helt, o kallstartar den från winxp cd-skivan när du försöker formatera osv??(så inget skit som kan råka finnas på c: läses in)

 

Jo det va virus programmet som sa till att vadnuvirusethette ville läggas in på datorn, men tog bort det innan det la sig med f secure. Nej då jag har inte fått bort ett skit ännu

 

Shit vad jag inte hänger med Alltså jag kan använda disken helt problemfritt, det är bara strulet att den inte finns i listan i bioset

 

Jag har gjort både omstart och kallstart... tyvärr

[brainslicer]

Jo det va virus programmet som sa till att vadnuvirusethette ville läggas in på datorn, men tog bort det innan det la sig med f secure. Nej då jag har inte fått bort ett skit ännu

 

Shit vad jag inte hänger med Alltså jag kan använda disken helt problemfritt, det är bara strulet att den inte finns i listan i bioset

 

Jag har gjort både omstart och kallstart... tyvärr

 

Ok, att viruset återkommer trots att du/f-secure tar bort det tyder ju på att du är smittad ännu(inte nödvändigtvis av det som f-secure senare hittar)... att du inte får fram disken i winxp installationen kan tyda på nåt fel i mbr/mbr är inblandad i viruset (tex rootkits kan dock bete sig lika, återkommer varje start)

 

 

Jag skulle scanna med ett par online av-scanners och nån rootkitscanner... antagligen kommer du att hitta nåt annat också på burken(senast jag blev smittad krävdes 1 installerad AV + 2 onlinescanners + rootkitscanner för att bli av med allt)

Hjälper inget annat... skulle jag ta och fabriksåterställa disken med lowlevel-format verktyg.

 

det är bara strulet att den inte finns i listan i bioset

i biosen fanns den ju, inte i winxp installen

 

 

edit:

letade lite för skojjs skull...

där har du några trådar som kämpat med viruset ifråga...som du ser är det massor med steg för att helt bli av med viruset ifråga....

http://forum.emsisoft.com/Default.aspx?g=posts&m=12160

http://www.cybertechhelp.com/forums/showthread.php?t=156571

http://forums.spybot.info/showthread.php?t=15415

googla efter "Trojan.Win32.BHO.bd removing" så hittar du massor....

 

 

Trojan.Win32.BHO.bd is fairly new.

 

Download to your Desktop:

- HiJackThis v1.99.1 http://downloads.malwareteks.com/HijackThis_1991.exe

- HiJackFree http://download5.emsisoft.com/a2HiJackFreeSetup.exe

- ATF Cleaner by Atribune (Windows 2000/XP/2003/Vista) http://www.majorgeeks.com/ATF_Cleaner_d4949.html

- Pocket Killbox http://www.majorgeeks.com/download4709.html

- ExplorerXP http://www.majorgeeks.com/ExplorerXP_d4201.html

- ISeeYouXP by ShadowPuterDude (Windows 2000/XP/2003/Vista) http://downloads.malwareteks.com/ISeeYouXP.zip

 

Install HijackThis

Install HiJackFree

Put ATF Cleaner on you Desktop

Install ExplorerXP

Unzip Pocket Killbox to your Desktop

 

Extract the contents of ISeeYouXP.zip to the root directory of drive C:\. This will create a folder named ISeeYouXP in the root directory of Drive C.

 

Update a-squared Free.

 

Using Windows Explorer (right click the Start button and select Explore to open Windows Explorer) navigate to C:\ISeeYouXP and locate the following script:

ShowIT.bat

 

Double-click to run the batch.

 

IMPORTANT NOTE: Vista Users

 

UAC must be turned off to run this script.

 

Turning Off/On UAC in Vista

1. Open the Control Panel.

2. Under User Account and Family settings click on the "Add or remove user account".

3. Click on your user account.

4. Under the user account click on the "Go to the main User Account page" link.

5. Under "Make changes to your user account" click on the "Change security settings" link.

6. In the "Turn on User Account Control (UAC) to make your computer more secure" click to unselect the "Use User Account Control (UAC) to help protect your computer". Click on the "OK" button.

7. You will be prompted to reboot your computer. Do so.

In order to re-enable UAC just select the above checkbox and reboot.

 

To Run ShowIT right-click on ShowIT.bat and select "Run as Administrator"

 

Now boot into SAFE MODE

 

Run ATF Cleaner:Double-click ATF- Cleaner.exe to run the program.

Under Main choose: Select AllClick the Empty Selected button.

 

If you use Firefox browserClick Firefox at the top and choose: Select All

Click the Empty Selected button.

NOTE: If you would like to keep your saved passwords, please click No at the prompt.

 

If you use Opera browserClick Opera at the top and choose: Select All

Click the Empty Selected button.

NOTE: If you would like to keep your saved passwords, please click No at the prompt.

 

Click Exit on the Main menu to close the program.

 

NOTE: This will remove all files from the items that are checked so if you have some cookies you'd like to save. please move them to a different directory first.

 

Run a-squared Anti-Malware and do a full system scan. Let a-squared fix what it finds.

 

REBOOT to Normal Mode.

 

Using Windows Explorer (right click the Start button and select Explore to open Windows Explorer) navigate to C:\ISeeYouXP and locate the following scripts:

ISeeYouXP.bat

 

Double-click to run the batch.

 

IMPORTANT NOTE: Vista Users

 

UAC must be turned off to run this script.

 

Turning Off/On UAC in Vista

1. Open the Control Panel.

2. Under User Account and Family settings click on the "Add or remove user account".

3. Click on your user account.

4. Under the user account click on the "Go to the main User Account page" link.

5. Under "Make changes to your user account" click on the "Change security settings" link.

6. In the "Turn on User Account Control (UAC) to make your computer more secure" click to unselect the "Use User Account Control (UAC) to help protect your computer". Click on the "OK" button.

7. You will be prompted to reboot your computer. Do so.

In order to re-enable UAC just select the above checkbox and reboot.

 

To Run ISeeYouXP right-click on ISeeYouXP.bat and select "Run as Administrator"

 

( Do not attempt to run these programs from inside the ZIP file or by using Winzip. They will not work properly. )

 

Possible Error MessagesIf your ISeeYouXP.txt log appear to be empty or semi-empty or if you get an error message similar to the below when running ISeeYouXP.bat and you are running Windows XP or Windows 2000, follow the steps further down that relate to your OS

Quote:C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. The system file is not suitable for running MS-DOS and Microsoft Window applications.

 

 

 

To fix the above error message, choose the download below which is appropriate for your system

For Windows XP Pro: download and run: XPproFix

For Windows XP Home: download and run: XPHomeFix

For Windows 2000: download and run: W2KFix

Then run ISeeYouXP.bat again and attach the log.

 

A possible second type of error message may occur as shown in the quote box below! If you get either of these two messages, perform the Resolution steps given in this: Virtual Device Driver Error Message in 16-Bit MS-DOS Subsystem

Quote:16 bit MS-DOS Subsystem

drive:\program path

XXXX. An installable Virtual Device Driver failed DLL initialization. Choose 'Close' to terminate the application.

 

-or-

 

16 bit MS-DOS Subsystem

drive:\program path

SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers. VDD. Virtual Device Driver format in the registry is invalid. Choose 'Close' to terminate the application.

 

 

 

After attempting to fix the above errors, run ISeeYouXP.bat again and attach the log.

 

NOTE: For Win9x and WinMe users! ISeeYoouXP does not support Win9x and WinMe.

 

Run HijackThis. Click the 'Do a system scan and save a log file' button. Close Notepad and Exit HijackThis.

 

Post the following logs:

a-squared Anti-Malware log

ISeeYouXP.txt this log can get quite long. (C:\ISeeYouXP.txt)

HijackThis (C:\Program Files\HJT\hijackthis.log)

 

This may take several posts to post post all 3 logs.

[MR_Jimmy]

Ok, att viruset återkommer trots att du/f-secure tar bort det tyder ju på att du är smittad ännu(inte nödvändigtvis av det som f-secure senare hittar)... att du inte får fram disken i winxp installationen kan tyda på nåt fel i mbr/mbr är inblandad i viruset (tex rootkits kan dock bete sig lika, återkommer varje start)

 

Men en formatering måste väl ändå lösa allt?

[brainslicer]

Men en formatering måste väl ändå lösa allt?

en vanlig formatering(highlevel formatering) hjälper inte om de ligger nåt skit i mbr

 

oreda i vanliga filsystemet ja, men inte om de ligger virus i bootsektorn, då behövs....tex: nån av dessa metoder

-fabriks reset med special verktyget(lowlevel formatering)

-f-secures metod (som fanns i länken)

-manuell formatering om du först kör fdisk med /mbr switchen

(kom ihåg att boota från enhet med frisk bootsektor)

[MR_Jimmy]

en vanlig formatering(highlevel formatering) hjälper inte om de ligger nåt skit i mbr

 

oreda i vanliga filsystemet ja, men inte om de ligger virus i bootsektorn, då behövs....tex: nån av dessa metoder

-fabriks reset med special verktyget(lowlevel formatering)

-f-secures metod (som fanns i länken)

-manuell formatering om du först kör fdisk med /mbr switchen

(kom ihåg att boota från enhet med frisk bootsektor)

 

Shiiit jaaha... får höra vad killarna har att säga där jag ska lämna den.

[MR_Jimmy]

Tack för all din hjälp förresten! Cred till dig för det!

[brainslicer]

Tack för all din hjälp förresten! Cred till dig för det!

no problemos...men som sagt: det är bara gissninglekar här på forumet

(en sak att ha problem datorn framför sig, helt annan att försöka fjärrhjälpa nån )

 

dom har säkert verktyg osv för att reda upp problemen

tyvärr så är det så att trots man har virusskydd...kan man bli smittad, och ofta av nåt som inte programet klara av att ta bort(återkommer varje start)...då gäller manuella borttagnings metoder, vilka kräver att man sätter sig in i de hela och framförallt läser

 

enda vettiga sättet att få hjälp online är är via metoderna som jag länkade till, att du kör ett program som ger tillräckligt med info åt dom som ska hjälpa dig på forumet

[brainslicer]

Tjenare, nu är det så här att min kära broder tog emot nån skit från nån kompis via msn, det kmr upp en text där det står typ , " hello , check out my photoalbum" och min brorsa tog då emot de och nu är det så att det där skickas iväg till alla på min msn lista, och hela datorn allmänt laggar ihop, nån som vet hur man får bort de ??

 

har virussökt 3 ggr, den hittar 2 typ och sätter dom i karantän men sen startar jag om och det är tebax, nån som vet hur man får bort de ??+

 

// filip

 

Vet inte hur de gick för dig, men råkade springa på nåt idag(IM o p2p säkerhetssida) o kom ihåg denna tråd:

http://www.akonix.com/

http://www.akonix.com/im-security-center/

http://www.akonix.com/im-security-center/filters.asp

 

Tex Impard (i den sista länken)skulle kunna passa in på det du beskrev, eller nån variant av den, följ länkarna så hittar du removal instructions, det är inget virus utan en worm isf.

[brainslicer]

Shiiit jaaha... får höra vad killarna har att säga där jag ska lämna den.

Hur går de med datorn? Såg nu att jag missat den andra smittan i din första post: Eyeveg.f

Så går de när man spelar poker o skriver/läser forum samtigt....

Det är ju en worm, en sån gör så gott som alltid datorn seg(jobbar i bakgrunden för att på olika sätt sprida sig vidare)...

A computer worm is a self-replicating computer program. It uses a network to send copies of itself to other nodes (computer terminals on the network) and it may do so without any user intervention. Unlike a virus, it does not need to attach itself to an existing program. Worms always harm the network (if only by consuming bandwidth), whereas viruses always infect or corrupt files on a targeted computer.

de va ju dessutom en farlig sådan, som stänger ner antivirus och brandväggar, är keylogger, spara o skickar sparade lösenord till server på nätet osv osv

[MR_Jimmy]

Hur går de med datorn? Såg nu att jag missat den andra smittan i din första post: Eyeveg.f

Så går de när man spelar poker o skriver/läser forum samtigt....

Det är ju en worm, en sån gör så gott som alltid datorn seg(jobbar i bakgrunden för att på olika sätt sprida sig vidare)...

de va ju dessutom en farlig sådan, som stänger ner antivirus och brandväggar, är keylogger, spara o skickar sparade lösenord till server på nätet osv osv

 

Tack för din undran om man kan säga så =) Jo ett datorföretag nära mig löste allt och har formaterat om hela datorn. Den känns betydligt rappare nu, innan så va tex PT extremt segt när man körde autoimport, men nu flyter det på kanon! Tack för allt hjälp!

[Bubbla]

Verkar ha åkt på nåt skit.

Fick massa zipade "bildfiler" från en kompis på msn. Råkade ta emot den första men öppnade den alldrig utan raderade den efter ca 5 min.

Sen komm massa fler filer från han som jag nekade.

Efter ett tag fick han filer från mig med.

Hur kan det ha gått till? Kan den första filen ha smittat mig trots att jag alldrig öppnade den?

Kör virusscan med nod32 får följande meddelande:

"C:\pagefile.sys - error opening files (file locked) [4]"

Är det normalt?

Hittar inget annat.

Finns det nåt bra program jag kan köra för att kolla datorn?

[brainslicer]

Verkar ha åkt på nåt skit.

Fick massa zipade "bildfiler" från en kompis på msn. Råkade ta emot den första men öppnade den alldrig utan raderade den efter ca 5 min.

Sen komm massa fler filer från han som jag nekade.

Efter ett tag fick han filer från mig med.

Hur kan det ha gått till? Kan den första filen ha smittat mig trots att jag alldrig öppnade den?

Kör virusscan med nod32 får följande meddelande:

"C:\pagefile.sys - error opening files (file locked) [4]"

Är det normalt?

Hittar inget annat.

Finns det nåt bra program jag kan köra för att kolla datorn?

 

Verkar ju inte vara normalt, det är mycket olika msn malware på gång just nu... inte bara virus, vissa har ju kapacitet att hindra antivirus att jobba eller slå ut brandväggar,,,,i många fall är det worms

 

Växande problem | 2007-07-28 11:23 - IDG.se:

Attacker via snabbmeddelanden har ökat med 80 procent i år

 

Testa några olika online scanners, rootkitscanner osv, de e hopplöst att säga speciellt mycke utan info.

Sedan har ju bl.a. nod32 nyupptäckt higly critical sårbarhet:

NOD32 Antivirus Multiple File Processing Vulnerabilities

http://secunia.com/advisories/26124/

(även många andra antivirus produkter har nyupptäckta sårbarheter)

 

 

edit: lista på nyupptäckta IM/p2p malwares

http://www.akonix.com/im-security-center/

som synes e listan lång bara för denhär månaden

 

Spim and Malware Filters

http://www.akonix.com/im-security-center/filters.asp