Ånej, Ett Virus.

[nisen_cool]

Data virus är inte min grej men lite google så finner man svaret.

Jag kan börja med att säga att viruset heter ''paked.win32.moder.gen''

Du kan bli av med viruset om du laddar ner dena fill som kommer från f-secure www.f-secure.com/tools/f-vmonde.zip

Dens funktioner är att köra dolt i din dator och visa pop-up som du inte vill se. :P

[Raptomex]

Data virus är inte min grej men lite google så finner man svaret.

Jag kan börja med att säga att viruset heter ''paked.win32.moder.gen''

Du kan bli av med viruset om du laddar ner dena fill som kommer från f-secure www.f-secure.com/tools/f-vmonde.zip

Dens funktioner är att köra dolt i din dator och visa pop-up som du inte vill se. :P

Mm, jag vet vid det här laget att den heter så, det står ju så även på bilderna jag har laddat up...

 

Och nej..När jag fick viruset så stog det på f-secures support eller nåt sånt att f-secure hade svårt att ta bort den sortens virus.

 

Men som sagt, så är viruset/virusen borta nu.

Men det blev lite strul i systemet efter den attacken. Ska fixa det.

[Raptomex]

[EDIT] SORRY FÖR DUBBEL POST :(([EDIT]

 

Hm, jag tycker att det är nåt som spökar ändå i datorn.

Jag gjorde en hijack this log, och här kommer den.

Logfile of HijackThis v1.99.1
Scan saved at 08:06:02, on 2008-04-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\EPSON\ESM2\eEBSVC.exe
C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program\Telia\Supportassistent\bin\sprtcmd.exe
C:\Program\Java\jre1.6.0_02\bin\jusched.exe
C:\Program\QuickTime\qttask.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program\Delade filer\Teleca Shared\CapabilityManager.exe
C:\Program\iPod\bin\iPodService.exe
C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Spybot - Search & Destroy\TeaTimer.exe
C:\Program\NETGEAR\WG111v2\WG111v2.exe
C:\Program\Delade filer\Teleca Shared\Generic.exe
C:\Program\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Andre Syren\Skrivbord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {260431D4-A2C6-4B01-B31F-779FF4B22242} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program\BitComet\tools\BitCometBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D6EA4F5-4F66-49DF-B67D-9940828EFF16} - C:\WINDOWS\system32\mlJyaWPH.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8E1BFC0E-8AD2-424D-AC8A-06038481516E} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {95354A47-466D-44D6-9AE1-3B28E0716A04} - C:\WINDOWS\system32\jkkjjHby.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {E511E18F-07CD-4400-98ED-6D0EE601D9B2} - (no file)
O2 - BHO: (no name) - {E71F29DC-3358-4125-8D6C-97F229CF4C2A} - (no file)
O2 - BHO: (no name) - {E8CE32C4-C3B6-4178-A74D-CEEFAB028757} - (no file)
O2 - BHO: {6459df9c-cba1-a808-8cd4-9a5e6c55522f} - {f22555c6-e5a9-4dc8-808a-1abcc9fd9546} - C:\WINDOWS\system32\whhtudhd.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows live Messenger] msn.com
O4 - HKLM\..\Run: [AVP] "C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [ccc8c172] rundll32.exe "C:\WINDOWS\system32\rdqjrkub.dll",b
O4 - HKLM\..\Run: [BMcffbf2ee] Rundll32.exe "C:\WINDOWS\system32\esnrrnvu.dll",s
O4 - HKCU\..\Run: [HistoryKill] C:\Program\HistoryKill\\histkill.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] C:\Program\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "c:\program\steam\steam.exe" -silent
O4 - Startup: Registration Brothers In Arms.LNK = E:\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\Program\EPSON\ESM2\STMS.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program\NETGEAR\WG111v2\WG111v2.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Öppna på ny flik i bakgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/229?81ee01d6eeb74676ad4fc907373c0563
O8 - Extra context menu item: Öppna på ny flik i förgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/230?81ee01d6eeb74676ad4fc907373c0563
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Webb Antivirus-statistik - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_se.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175715400000
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: fccbCrqn - C:\WINDOWS\
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program\EPSON\ESM2\eEBSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: spkrmon - Unknown owner - C:\Program\Analog Devices\SoundMAX\spkrmon.exe

Redigerat 19 April 2008 av Raptomex

[Apex]

Jag är inte så jätta bra på detta med hijackthis saker men vad jag såg så hittade jag inte något mysko o.O

 

[Median]

O4 - HKLM\..\Run: [Windows live Messenger] msn.com är troligen ett MSN virus, och ska fixas som fort som möjligt (Vet inget om hur man fixar MSN virus, så avvakta tills nån annan säger något.)

 

Och jag är väldigt skeptisk mot

O4 - HKLM\..\Run: [bMcffbf2ee] Rundll32.exe "C:\WINDOWS\system32\esnrrnvu.dll",s

 

Prova ladda upp esnrrnvu.dll på Virustotal eller liknande och kolla, eftersom det är troligen något mysko.

 

Samma med

O4 - HKLM\..\Run: [ccc8c172] rundll32.exe "C:\WINDOWS\system32\rdqjrkub.dll",b

 

Och

O2 - BHO: {6459df9c-cba1-a808-8cd4-9a5e6c55522f} - {f22555c6-e5a9-4dc8-808a-1abcc9fd9546} - C:\WINDOWS\system32\whhtudhd.dll

 

Finns ingen information om dom här, och om dom hörde till Windows borde dom finnas på nån sån där sida som t.ex. Processlibrary.

 

Den här ska fixas:

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - hxxp://cdn.drivecleaner.com/installdrivecleanerstart_se.cab (Bytte ut tt mot xx för säkerhetsskäl om nån är idiotisk nog att trycka.

 

Och

O20 - Winlogon Notify: fccbCrqn - C:\WINDOWS\ har jag ingen aning om vad det är, du får avvakta med den här, men har aldrig sett det förut, men kan höra till t.ex. Kaspersky.

 

Jag har bara pekat ut saker som jag tror är hot mot säkerheten i datorn, men jag är ganska skeptisk mot hur man får bort dom ;) Och visst, jag kan ha fel.

Redigerat 19 April 2008 av Odet

[ThaNooB]

Han verkar veta mycket om datorer fast han bara är 13 :P Jag är också 13 men jag är inte så bra <_<

[Median]

Njae, jag tycker man ska ta mina "råd" med en nypa salt och vänta tills nån mer erfaren än jag svarar.

[Raptomex]

O4 - HKLM\..\Run: [ccc8c172] rundll32.exe "C:\WINDOWS\system32\rdqjrkub.dll",b

=Trojan borta.

 

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - hxxp://cdn.drivecleaner.com/installdrivecleanerstart_se.cab

Har kollat men ska ladda upp den på virus total.

 

Jag rootkit sökte och f*n 2st trojaner, samt 9 till men de är borta nu.

[Median]

Raptomex: Skulle du kunna skicka upp en ny HJT log sen?

[Raptomex]

Jag skickar en ny HTL snart.

Ska bara lägga upp ett par filer på virustotal.

Och sedan visar jag resultaten.

Redigerat 19 April 2008 av Raptomex

[Apex]

[EDIT] såg att Odet redan påpekat drivecleaner saken .cab

Redigerat 19 April 2008 av StriKers

[Raptomex]

Den här; O4 - HKLM\..\Run: [Windows live Messenger] msn.com

 

Det enda som kom fram ang var det hära;

Trojansk häst Backdoor.Win32.IRCBot.cht Fil: C:\WINDOWS\msn.0om

Den är borta nu.

 

 

O4 - HKLM\..\Run: [bMcffbf2ee] Rundll32.exe "C:\WINDOWS\system32\esnrrnvu.dll",s

Den verkar vara borta för att det går ej att hitta den längre.

Tror nog att jag tag bort den.

 

O2 - BHO: {6459df9c-cba1-a808-8cd4-9a5e6c55522f} - {f22555c6-e5a9-4dc8-808a-1abcc9fd9546} - C:\WINDOWS\system32\whhtudhd.dll

Är också borta.

 

 

Och angående denna;

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - hxxp://cdn.drivecleaner.com/installdrivecleanerstart_se.cab

 

Så har mina virus skydd reagerat på webb sidor;

upptäckt: virus Packed.Win32.Monder.gen Webbadress: http://82.98.235.78/b/iddqd.dll?uid=A7000A...=wen5//PE_Patch

 

upptäckt: virus Packed.Win32.Monder.gen Webbadress: http://89.188.16.57/clvraff/hctp.dll?uid=A...=wen5//PE_Patch

 

upptäckt: virus Packed.Win32.Monder.gen Webbadress: http://89.188.16.57/clvraff/kriv.dll?uid=A...=wen5//PE_Patch

 

 

Kan det ha något med driveclean tro?

Ska jag ta bort det eller?

 

~~~~>O.B.S GÅ EJ ut på sidorna.<~~~~~~

 

Ahh, intressant, när man klickar på länken då kommer man till en tom sida, sen så börjar ens virus skydd krångla om att det man håller på å laddar ner ett virus (lol) men nått sånt är det. Så om nån har klickat på länken så avsluta det bara.

Redigerat 19 April 2008 av Raptomex