Gå till innehåll

HJÄLP virus/trojan??

mr_telefon

Av mr_telefon
i Datorsäkerhet

 Share

Recommended Posts

mr_telefon Advanced Member

mr_telefon

Postad
Postad

Här är en logg från Hijackthis. Vad ska jag radera och hur? Datorn krashar typ vid varje start :( Misstänker att jag har nån trojan eller virus. Brainslicer var är du när man behöver dig?

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\hqkkwuyp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Delade filer\Logitech\LComMgr\Communications_Helper.exe

C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program\STORAG~1\ucookw.exe

C:\Program\Delade filer\Logitech\LComMgr\Communications_Helper .exe

C:\Program\Delade filer\StorageProtector\strpmon.exe

C:\Program\Analog Devices\Core\smax4pnp .exe

C:\Program\Kaspersky Lab\Kaspersky Internet Security 7.0\avp .exe

C:\Program\STORAG~1\ucookw .exe

C:\Program\Delade filer\StorageProtector\strpmon .exe

C:\Program\Delade filer\Logitech\LComMgr\LVComSX.exe

C:\Program\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program\MSN Messenger\usnsvc.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\PROGRAM\NETSCAPE\NAVIGA~1\NAVIGA~1.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

brainslicer Advanced Member

brainslicer

Postad
Postad

Asså jag känner inte igen alla filer o har alla verktyg i huvet(får söka som alla andra), det bästa är ju att posta vad dom vill ha på ett säkerhets forum,

 

men utan att fundera destu mera så ser bl.a cookw .exe väldigt misstänksamt ut direkt

 

Hur man sedan tar bort den beror ju på, får googla lite vad det är och vad som krävs för borttagande(på säkerhets forum brukar finnas verktyg och step by step guider)

 

edit: efter lite googling:

ucookw .exe http://spywarefiles.prevx.com/RRFHJJ044224918/UCOOKW+.EXE.html

DEFINITION OF: UCOOKW .EXE
  • Safety Rating: Known Malware, do not run
  • Malware Family: Part of Malware group - I-Worm/Stration FOS
  • Malware Form: EXPLOIT

du kan ju se om prevx csi kan ta bort det:

detect, remove and protect you from UCOOKW .EXE

(måste tydligen ha license key för borttagning)

 

men kolla igenom ordentligt efteråt så du får bort allt eftersom:

File Names Used: 3

Paths Used: 8

Common File Name: UCOOKW .EXE

Common Path: %programfiles%\storageprotector\

Vendor Information: No Vendor details specified

UCOOKW .EXE may use 3 or more path and file names, these are the most common:

1 :%programfiles%\confidentuser\UCOOKW .EXE

2 :%programfiles%\storageprotector\UCOOKW .EXE

File Name Structure: Normal

File and Path Structure: Normal

strpmon .exe

http://www.prevx.com/filenames/X2461716249978064829-0/STRPMON++++++++.EXE.html

The filename STRPMON .EXE was first seen on Jan 2 2008 in NETHERLANDS.

 

The filename STRPMON .EXE refers to an executable program. It has file size of 822,272 bytes.

The filename is associated with the malware group Dropper.Agent.GIT.

 

This file has no vendor, product or version information specified in the file header.

 

STRPMON .EXE has been seen to perform the following behavior(s):

  • The Process is packed and/or encrypted using a software packing process

den där ser också skum ut: hqkkwuyp.exe (hittar dock ingen info, varken legal eller malware)
mr_telefon Advanced Member

mr_telefon

Postad
  • Författare
Postad
Asså jag känner inte igen alla filer o har alla verktyg i huvet(får söka som alla andra), det bästa är ju att posta vad dom vill ha på ett säkerhets forum,

 

men utan att fundera destu mera så ser bl.a cookw .exe väldigt misstänksamt ut dirkekt

 

Hur man sedan tar bort den beror ju på, får googla lite vad det är och vad som krävs för borttagande(på säkerhets forum brukar finnas verktyg och step by step guider)

 

 

Ja får ta å göra det, postade även på IDG.se får hoppas på svar där. Man är ju extra nervig som pokerspelare :)

brainslicer Advanced Member

brainslicer

Postad
Postad

ett forum och länk med exempel hur det går tillväga:

som du ser vill dom ha hela loggen att börja med...sedan bara följa instruktioner du får, step-by-step...

http://forums.techguy.org/malware-removal-hijackthis-logs/648853-solved-please-help.html

 

du gör förstås en egen tråd(du kan ju även göra det fast prevx csi tar bort allt, för att kolla om dom tycker det är ok med loggen) det är knappast så enkelt som bara radera, som synes kan det krävas en hel del steg....

 

Minst en av filerna är exploit, tex: du kanske surfat in med nåt sårbart program in på en sida som utnyttjar sårbarheten(kan vara allt från media spelare till själva browsern, java, flash eller egentligen va som helst)

https://psi.secunia.com/ för att minimera sårbarheter/exploits

mr_telefon Advanced Member

mr_telefon

Postad
  • Författare
Postad
ett forum och länk med exempel hur det går tillväga:

som du ser vill dom ha hela loggen att börja med...sedan bara följa instruktioner du får, step-by-step...

http://forums.techguy.org/malware-removal-hijackthis-logs/648853-solved-please-help.html

 

du gör förstås en egen tråd(du kan ju även göra det fast prevx csi tar bort allt, för att kolla om dom tycker det är ok med loggen) det är knappast så enkelt som bara radera, som synes kan det krävas en hel del steg....

 

Minst en av filerna är exploit, tex: du kanske surfat in med nåt sårbart program in på en sida som utnyttjar sårbarheten(kan vara allt från media spelare till själva browsern, java, flash eller egentligen va som helst)

https://psi.secunia.com/ för att minimera sårbarheter/exploits

 

 

Okej ska testa allt detta, tack för all hjälp.

 

 

 

omformatera skiten

 

Ingen Xp skiva :P

Joeduck Advanced Member

Joeduck

Postad
Postad

Ok, du kan nog räkna med att få fler besvär i framtiden antingen indirekt orsakade utav din ovilja att omformatera, men du gör som du vill. Luften är fri

 

Men det är jag som är överparanoid med, för jag vet att ifall jag skulle varit mask/virus infekterad så hade jag 1#: reversat dent, 2#:tagit reda på info på nätet. Vilket gör risken för en omformatering ändå högre- alltså för en som inte finner nöje i sådant arbete rekommenderar jag omformatering

mr_telefon Advanced Member

mr_telefon

Postad
  • Författare
Postad
Ok, du kan nog räkna med att få fler besvär i framtiden antingen indirekt orsakade utav din ovilja att omformatera, men du gör som du vill. Luften är fri

 

Men det är jag som är överparanoid med, för jag vet att ifall jag skulle varit mask/virus infekterad så hade jag 1#: reversat dent, 2#:tagit reda på info på nätet. Vilket gör risken för en omformatering ändå högre- alltså för en som inte finner nöje i sådant arbete rekommenderar jag omformatering

 

Mmm funderar på att omformatera, några tips på filer jag ska spara över till extern hårddisk? Använder ju PokerTracker och vill gärna ha kvar händerna osv. Andra tips vid formatering?

Joeduck Advanced Member

Joeduck

Postad
Postad

tyvärr så vet ja ej hur PT reagerar vid flyttning, jag använder inte PokerTracker men det lär finnas info i deras hjälpfil/www eller i sämsta fall bara på deras forum vilka filer som programmet använder. Kanske blir krångel med registreringsproceduren, finns säkert info här på forumet under 'studier'.

En backup på registret är alltid bra att spara. Sen kan man med 3dje parts program gå in i den och hämta nycklar som man vill åt.

Förresten så kan du lika gärna dra ner hela "Documents and Settings" mappen, ligger troligtvis under C:\, och inkluderar lite allt möjligt skit. Bla temporära filer, vilka oftast inte är så intressanta. Men bokmärken och sajtlösenord går att extrahera med valt program från www. nirsoft .net

Istället för att spara program så spara programnamnen bara, eller en URL länk så kan du enkelt ladda hem den senaste versionen utav programmet istället för att köra den gammla o bli infekterad på nytt. och såklart alla inställningsfiler, plugins kan dock vara infekterade så de skulle jag oxå dragit hem från nätet på nytt.

mr_telefon Advanced Member

mr_telefon

Postad
  • Författare
Postad
tyvärr så vet ja ej hur PT reagerar vid flyttning, jag använder inte PokerTracker men det lär finnas info i deras hjälpfil/www eller i sämsta fall bara på deras forum vilka filer som programmet använder. Kanske blir krångel med registreringsproceduren, finns säkert info här på forumet under 'studier'.

En backup på registret är alltid bra att spara. Sen kan man med 3dje parts program gå in i den och hämta nycklar som man vill åt.

Förresten så kan du lika gärna dra ner hela "Documents and Settings" mappen, ligger troligtvis under C:\, och inkluderar lite allt möjligt skit. Bla temporära filer, vilka oftast inte är så intressanta. Men bokmärken och sajtlösenord går att extrahera med valt program från www. nirsoft .net

Istället för att spara program så spara programnamnen bara, eller en URL länk så kan du enkelt ladda hem den senaste versionen utav programmet istället för att köra den gammla o bli infekterad på nytt. och såklart alla inställningsfiler, plugins kan dock vara infekterade så de skulle jag oxå dragit hem från nätet på nytt.

 

okej då kör vi :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Endast 75 max uttryckssymboler är tillåtna.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Ditt tidigare innehåll har återställts.   Rensa redigerare

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Gå till ämneslista
×
×
  • Skapa nytt...