Akut! (Massor av virus)

[cissiny]

Sitter vid min mammas dator, internet har inte fungerat på månader, nu har jag fått igång det (tillfälligt, mycket strul, går inte att stänga ner utan att dra ur telefonsladden, går sen inte att få igång utan att starta om datorn). Har långsamt telefonmodem.

Mamma har AVG på datorn, problemet är att det inte hade uppdaterats sedan i juli... (Det har vi pratat om, hon ska hädanefter uppdatera varje gång hon går ut på nätet).

Detta har jag gjort:
1. Kört AVG med den gamla virusdatabasen (från juli -04 alltså). Hittade ett virus och tog bort det.
2. Kört AdAware (ej uppdaterat), hittade massor (ISTbar etc etc) som jag tagit bort (i RegEdit framförallt)
3. Kört AVG och AdAware igen, inga virus eller spyware hittades.
4. Startat om datorn, fortfarande inga virus/spyware enligt (ouppdaterade) AVG och AdAware.
5. Kommit ut på internet efter mycket strul, startsidan hade ändrats till nån msn-sida.
6. Hämtat senaste virusuppdateringen från AVG. (En del strul var det, popus "tjänsten Messenger" och nåt felmeddelande)
7. Internet gick inte på något sätt att koppla ifrån, försökte på diverse sätt utan nån som helst effekt. Till sist fick jag dra ut telefonsladden och det gick. Kollade att ringa till telefonen här från min mobil och linjen är inte blockerad när sladden är urdragen.
8. Kört AVG igen. Massor av virus, se nedan:

Virus:
Documents and Settings/"användare"/NTUSER.DAT (vet ej om det finns virus här, gick inte att öppna)
Documents and Settings/"anv"/ntuser.dat.LOG (vet ej om det finns virus här, gick inte att öppna)
Documents and Settings/"anv"/Lokala inställningar/Application Data/Microsoft/Windows/USRCLASS.DAT(vet ej om det finns virus här, gick inte att öppna)
Documents and Settings/"anv"/Lokala inställningar/Application Data/Microsoft/Windows/UsrClass.dat/LOG (vet ej om det finns virus här, gick inte att öppna)
Documents and Settings/"anv"/Lokala inställningar/Temporary Internet Files/CONTENT.IE5/YONJZ0XE/... (Istbar.6.D, i "virus vault)
PROGRAM/ISTSVC.EXE (Istbar.6.D - fortfarande infekterad, gick ej att flytta)
PROGRAM/SIDEFIND/UPDATE/SIDEFIND.EXE (Istbar 4..., i "virus vault)
WINNT/RJATYD.EXE (gick ej att öppna, virus?)
WINNT/Downloaded Program Files/ISTACT~1.DLL (Istbar 4.BJ..., i "virus vault")
WINNT/SYSTEM32/GNALFV.EXE (IRC/BackDoor..., fortfarande infekterad, gick inte att flytta)
WINNT/SYSTEM32/WINIPC4.EXE (IRC/BackDoor... - står som "healed OK)
WINNT/SYSTEM32/WINOLE.EXE (IRC/BackDoor... - står som "healed OK)

Har skrivit av från "test result", / hamnade fel men jag tror att ni förstår

Är otroligt tacksam för tips, tänkte söka efter tips på hur man får bort dessa, trendmicro brukar ha en del på sin sida t ex... Sedan ska jag ladda ner den nya versionen av AVG, så datorn och internet lär vara på några timmar framöver. Kan gissa att det blir en del nattjobb för min räkning... Så, jag kollar in här med jämna mellanrum. Hade vart skönt att slippa formatera om datorn...

STORT tack på förhand om alla tips!

Mvh Cissi

PS. Tillägg: Mappalternativ har ändrats en del, kan inte se allt i alla mappar (trots att "visa dolda filer" är ibockat). Saker och ting kommer upp i en liten ruta till vänster (som i utforskaren, fast med vanlig mappvy så att säga). Högerfönstret är tomt. Säkerligen pga virus... DS.

 

[Mynta2]

Sv: Akut! (Massor av virus)

Mitt AVG slutade också fungera, så antar det var någon gratisverison..som du har. Installera ett nytt virusprogram. Ditt AVG är ju redan utgånget, så det funkar ju inte ändå att skydda dig. Och UPPDATERA Ad aware..är ju skitenkelt ju..står ju en knapp om uppdateringar. Jag vet tar tid med modem, men så mycket val har du inte. Och när jag satt på modem så tog jag mig tid att åtminstone uppdatera mina skydd...

 

[cissiny]

Sv: Akut! (Massor av virus)

Vi har AVG på alla våra datorer hemma, det fungerar kanon! Den gamla versionen skulle ha slutat fungera i januari, men dom har förlängt tiden till 15/2. Den nya versionen är jättebra, ska ladda ner den på den här datorn också. Lite småstrul innan man lär sig den, men kanonbra annars!

Stor skillnad mot Norton t ex

Problemet här är att det är mammas dator. Hon har fått mycket noggranna instrutioner tidigare om att uppdater AVG varje gång hon går ut på nätet, samt att köra diskrensning och defragmentering regelbundet. AdAware är det bäst att jag sköter. Vi bor ett par mil ifrån varandra, tyvärr har jag knappt hunnit hälsa på något det senaste halvåret. Så, hade mamma skött uppdateringen som hon skulle så hade datorn inte varit som en tickande bomb sprängfylld med virus... Jag tror att hon kommer att göra det framöver...

AdAware ska jag uppdatera nu!

Ang AVG så fick vi det rekommenderat av en bekant som jobbar med datorer. Han föredrar AVG före alla andra program, oavsett kostnad. Vi är också mycket nöjda. Men A och O är ju att man sköter uppdateringarna...

Mvh Cissi

 

[Mark]

Sv: Akut! (Massor av virus)

Tjena!

låter surt med allt virus.


Ett bra program som är gratis heter Spyware Doctor och kan hämtas här spywaredoctor

har du någon brandvägg? Viktigt även om man bara använder modem. har du ingen kan du hämta ZoneAlarm på download.com. Aväljer du INTE PRO så är det gratis och den funkar kalas.

Hoppas att de löser sig.

Doktor Mark

 

[cissiny]

Sv: Akut! (Massor av virus)

Tack Mark!

Vi har ZoneAlarm Pro, har en liten aning om att mamma har avaktiverat det när hon gått ut på nätet dock...

Spywaredoctor har jag inte testat, något liknande AdAware? AdAware är för övrigt uppdaterat nu, men hänger sig när det kommer till ISTbar... Ska göra ett nytt försök...

Har också försökt hitta info om ISTbar och IRC/BackDoor på www.trendmicro.com och www.pcm.se/int/ - tyvärr verkar virusen blocka all info om sig själva, sidorna som handlar om just dessa varianter går inte att ladda....

Puh.... Det lär bli en låååååång natt det här (har redan hållt på hela dan, skulle åkt hem vid lunchtid idag, men måste ju fixa datorn först....)

Tack för tipsen!

Mvh Cissi

 

[Mark]

Sv: Akut! (Massor av virus)

jag kan se vad jag kan hitta åt dig.

kan ju sen klippa och klistra lite här...de borde ju viruset gå bet på...

 

[Mark]

Sv: Akut! (Massor av virus)

här hittade jag en hel del. hoppas att det går att klistra in allt.

Description
ISTbar is an IE toolbar, homepage- and search-hijacker provided by Integrated Search Technologies/CDT Inc.

Variants
ISTbar/AUpdate installs a TinyBar variant to implement its toolbar, and will be detected by the script at this site as TinyBar/B. The hijacker is aimed at my-internet.info and blazefind.com; distribution is managed by searchbarcash.com, its controlling server. Updates are loaded by an ‘AUpdate’ process.

ISTbar/MSCache also uses TinyBar, along with a Browser Helper Object called mscache.dll used to load updates. The controlling server is www2.skoobidoo.com.

ISTbar/XXXToolbar is an update based around porn. It uses its own toolbar based on the Pugi toolbar. The hijacker is aimed at its controlling server xxxtoolbar.com, and slotch.com; distribution is controlled by toolbarcash.com.

ISTbar also installs other parasites: AUpdate and XXXToolbar install porn pop-up producer RapidBlaster/lp; the AUpdate variant is also known to install DownloadPlus; the MSCache variant installs nCase and the Wink/EasyDates dialler.

Also known as
The AUpdate variant is known as SearchBarCash-Hijacker, and the MSCache varaint as MSUpdates\MSCache, by Ad-Aware.

Distribution
Installed by ActiveX drive-by download on affiliate sites; typically porn in the case of XXXToolbar, from April 2003. An ‘aggressive’ downloader is usually used: if you refuse the download, a JavaScript alert complains that it won’t take no for an answer and opens the download window again.

ISTbar/MSCache was widely distributed to victims clicking on links to the ‘OutWar’ online game.

What it does
Advertising
In the XXXToolbar variant, yes: opens pop-ups as directed by its controlling server. Otherwise, no, though the TinyBar component could be used to open pop-ups.

All versions also install other third-party software which includes advertising.

Privacy violation
No.

Security issues
Yes. Can download and execute arbitrary unsigned code from its controlling server. This is used both to update the software and to install third-party software.

Stability problems
None known.

Removal
There is a entry in Add/Remove Programs for ‘MS AUpdate’ (AUpdate variant), ‘MS Updates’ (MSCache variant), or ‘ISTbar’ (ISTbar variant). Unfortunately this doesn’t remove the toolbar in the AUpdate variant, or RapidBlaster in the AUpdate or ISTbar variants; in the MSCache variant it does not appear to work at all.

Ad-Aware reflist 20.04.2003 and Spybot S&D update 2003-04-24 can remove ISTbar/AUpdate.
Manual removal
AUpdate variant
Open the registry (click ‘Start’, choose ‘Run’ and enter ‘regedit’) and find the key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Delete the ‘AutoUpdater’ entry on the right (pointing to aupdate.exe). Find the key HKEY_CLASSES_ROOT\CLSID, and delete the subkey ‘{69550BE2-9A78-11D2-BA91-00600827878D}’. Delete the subkey of the same name from HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars, and the entry of the same name from HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar.

Restart the computer and you should be able to delete the files ‘aupdate.exe’, ‘aupdate.conf’, ‘aupdate.trk’ and (if it is there) ‘aupdate_uninstall.exe’ from the System folder. (The System folder can be found inside the Windows folder; it is called ‘System32’ on Windows NT/2000/XP or just ‘System’ on Windows 95/98/Me.)

Finally you can restore your normal search settings (Internet Options->Programs->Reset Web Settings) and deal with RapidBlaster and DownloadPlus.

MSCache variant
Open a DOS command prompt window (from Start->Programs->Accessories) and enter the following commands:

cd "%WinDir%\System"
regsvr32 /u ../mscache.dll
Next, open the registry (click ‘Start’, choose ‘Run’ and enter ‘regedit’) and find the key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Delete the ‘MS Updates’ entry on the right (pointing to mscache.exe). Find the key HKEY_CLASSES_ROOT\CLSID, and delete the subkey ‘{69550BE2-9A78-11D2-BA91-00600827878D}’. Delete the subkey of the same name from HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars, and the entry of the same name from HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar.

Restart the computer and you should be able to delete the files ‘mscache.exe’, and ‘mscache.dll’ from the Windows folder

Finally you can restore your normal search settings (Internet Options->Programs->Reset Web Settings) and deal with nCase and Wink/EasyDates.

XXXToolbar variant
Open the registry (click ‘Start’, choose ‘Run’ and enter ‘regedit’) and find the key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Delete the ‘IST Service’ entry, if it is there. (Some early releases of XXXToolbar did not include this.)

Open a DOS command prompt window (form Start->Programs->Accessories) and enter the following commands:

cd "%WinDir%\System"
regsvr32 /u "\Program Files\ISTbar\istbar.dll"
Restart the computer and you should be able to delete the ‘ISTbar’ folder inside Program Files, and the ‘istsvc.exe’ file inside the Windows folder. You can also delete the registry keys HKEY_CURRENT_USER\Software\ISTbar and HKEY_CLASSES_ROOT\Pugi.PugiObj (and .1) to clean up if you like.

Finally you can restore your normal search settings (Internet Options->Programs->Reset Web Settings) and deal with RapidBlaster.

Hittade allt här

 

[Mark]

Sv: Akut! (Massor av virus)

Här är en annan sida...

Kan du se den?

 

[cissiny]

Sv: Akut! (Massor av virus)

Tack, underbara människa!!!! Jag lyckades öppna sidan.

Nu har jag snart laddat hem den nya versionen av AVG. Sedan kopplar jag nog ner internet (genom att dra ut sladden, lär det bli...), kör AVG och den uppdaterade AdAware, ser vad de tar, sen kör jag dina tips. Det lär ta ett par timmar, sedan försöker jag koppla upp internet igen och berättar hur det gått.

Medan datorn scannas kanske jag kan passa på att redigera lite bilder, har fotat lördag till måndag och skulle ju suttit hemma och jobbat just nu...

TACK TACK TACK än en gång!!!!!

Mvh Cissi

 

[Mynta2]

Sv: Akut! (Massor av virus)

Jajja, mitt AVG gällde då INTE tills det datum du sa. Gick heller inte göra så värst mycket åt det...Fast varför uppdatera manuellt ? Det kan ju sköta sig självt bara ni ställer in..Du får nog ordning på det dära...bra du uppdaterar Ad aware...fast det kan ju mammsen göra oxå ...visa bara knappen hon ska trycka på :-)

 

[Mark]

Sv: Akut! (Massor av virus)

SLS (Så Lite Så)

Vad gör man inte för att slippa laga mat (som att man slipper det då :smirk: )

Ja, lycka till med allt gottigott du har och fixa med. Glöm inte att medddela hur det gått bara

 

[cissiny]

Sv: Akut! (Massor av virus)

Knepigt att ditt AVG inte fungerade Vi gillar det skarpt, och har inte haft problem.

Har skrivit en utförlig men lättfattlig manual till mamma, om vad hon måste göra så ofta som möjligt, och vad hon bör göra varje vecka etc. Hon har bara struntat i det...

Lita inte på automatiska uppdateringar, vi har det inställt på det på våra datorer (som är online ca 16 timmar per dygn ) men uppdaterar också manuellt så ofta som möjligt (brukar kolla dagligen). Det är lätt att datorn missar en schemalagd uppdatering!

Mvh Cissi

 

[cissiny]

Sv: Akut! (Massor av virus)

Tack igen

Nu loggar jag ut, hittade en annan sida som jag faktiskt kom in på, en del matnyttigt: http://forum.grisoft.cz/freeforum/read.php?4,21232,21232#msg-21232

Och smaklig måltid! (Här har man ju fullservice så att säga men å andra sidan har jag ju bott vid datorn i många timmar nu...)

Lovar att höra av mig!

Mvh Cissi

 

[Elftor]

Sv: Akut! (Massor av virus)

Har ni mycket viktiga saker på datorn som måste sparas undan?
Annars föreslår jag en ominstallation av operativsystemet, det känns alltid säkrast.

 

[jerseyko]

Sv: Akut! (Massor av virus)

skaffa norton till din mamma, den uppdaterar automatiskt varje gång du går ut på nätet

Har aldrig haft problem med min dator, fast nu har jag ett virus som vägrar försvinna efter att min sambo surfat på internet innan jag fixat norton

Ladda ner Ad-aware oxå! Det är jätte bra men uppdaterar inte automatiskt..


Om du skriver upp var alla virus ligger kan du starta datan i felsäkert läge och kolla sen att de verkligen är borta.

 

[cissiny]

Sv: Akut! (Massor av virus)

Tack! Norton undviker jag helst, är inte så jätteförtjust i det... Segar ner datorn extremt mycket, inte är det så bra på att ta bort virus heller. Förr i tiden var nog Norton bäst men det är väl ett par år sedan...

AdAware finns på datorn, nyuppdaterat.

Så till läget nu (inte så kul...):

Har installerat nya AVG, som inte hittade några virus. Scannade datorn utan att vara ansluten till internet, körde sedan AdAware igen som hittade 26 "virus"/spyware, tydligt enbart spyware. De gick att ta bort. Förmodligen var jag lite för kvick med det, sedan började strulet... Startade om datorn - fick direkt upp en blå skärm med felmeddelande. Något om ny maskinvara/programvara, dumt nog skrev jag inte ner vad det stod. Något om BIOS har jag för mig.

Rekommendationen var att starta om datorn i felsäkert läge, vilket jag också gjorde. Var lite strul då med, fick starta om datorn igen och då gick det (nåt litet felmeddelande men ingen blå skärm). Kunde sen gå ut på nätet, gick till Windows Update eftersom det ev kunde rätta till felet? Har gjort en uppdatering med Windows Update, som krävde omstart. Innan omstart så tog jag hem update på AVG också så den är "up to date". Startade om igen.

Blå skärm igen, samma felmeddelande (om ny maskinvara/programvara). Startade om i felsäkert läge vilket tog en evighet men fungerade.

Felsäkert läge fungerade men det var förstås inte mycket jag kunde göra. Testade att starta om igen, ej i felsäkert läge. Tog jättelång tid, sen satte uppdateringarna från Windows Update igång, som jag laddat ner (installerade websökningstjänster, internetverktyg och systemtjänster). Speciellt det sista tog fem evigheter ungefär.

Men det fungerade. Nu är jag här igen, ingen aning om vad som händer när jag startar om.

Kollade med CtrlAltDelete och inga av virusprogrammen går i alla fall. Där ser allt ok ut. (Kom på att det heter väl aktivitetshanteraren eller något?).

Nu kopplar jag väl inte ner på en stund, ska kolla Windows Update igen, väntar lite med att installera nåt nytt men kollar igenom vad som behövs. Samt kollar in här då och då.

Om jag har tur så är virusen borta, men jag har förmodligen deletat nån viktig fil...

Mvh Cissi (som börjar bli vääääldigt trött.... hade jag haft installationsskivor här hade jag mer än gärna installerat om operativsystemet...)

 

[cissiny]

Sv: Akut! (Massor av virus)

Det är helt ok för mamma om jag installerar om operativsystemet, hon säger att hon inte har så mycket viktigt på datorn. Problemet är att jag inte har installationsskivorna här....

Tack för tipset i alla fall! Kan mycket väl bli aktuellt tills nästa gång jag kommer hit...

Mvh Cissi

 

[Mark]

Sv: Akut! (Massor av virus)

ojda, låter lite svettigt. Alltid lika spännande varje gång man startar om en sjuk dator.

Tur att det verkar funka nu. Fast det låter lite instabilt.

Nästa gång du har med dig OS-skivor kan du prova med att bara inst. över den befintliga installationen du har. De blir som en recovery. Har du lyckats ta bort nån viktig fil är det ofta en sån här operation "lagar" felet. Ett fel som inte är rätt är inte kul.

Gott om tid har man ju ont om, så detta kan spara in lite tid.

har du tid OCH lust att igen inst. allt så är de såkalrt bässt med en format c:....

Lycka till!

 

[cissiny]

Sv: Akut! (Massor av virus)

Uppdatering igen... Det blev en lång natt...

Datorn verkar ju vara fri från virus och spyware, men förmodligen har någon viktig systemfil försvunnit på vägen... Försöker ta reda på vilken, och om det går att reparera på nåt sätt...

När man startar datorn så blir det direkt stoppfel (blå skärm), det funkar sedan att starta om datorn i felsäkert läge för att sedan starta om den igen. Då går den igång utan stoppfel.

Nu har jag skrivit ner vad som står ang stoppfelet:
STOP: 0x00000050 (0xFD9D2608, 0x00000000, 0xF8034451, 0x00000000)
PAGE_FAULT_IN_NONPAGED_AREA

Address F8034451 base at F8030000, DateStamp 372f5c3b-Cdr45d.sys

(Kortfattad info ang om det är första gången medd. visas hoppar jag över)
Om meddelandet visas på nytt, kontrollera att all ny maskin- och programvara är korrekt installerad. Om det här är en ny installation, kan du kontakta maskin- eller programvarutillverkarna om du behöver speciella filer för Windows 2000.

Om problemet kvarstår kan du prova att inaktivera eller ta bort nyinstallerad maskin- eller programvara. Inaktivera alternativ för BIOS-minnet som exempelvis caching eller shadowing.
Så här gör du om du måste använda Felsäkert läge för att ta bort eller inaktivera komponenter: Starta om datorn, tryck F8 för att visa listan Avancerade startalternativ och välj Felsäkert läge.

Det jag funderar på nu är att hämta hem alla uppdateringar som behövs från Windows Update. När jag sedan startar om datorn, (blir väl vägen kring stoppfel-felsäkert läge och omstart igen) så avinstallerar jag AVG. Det kan ju installeras igen senare.

Mitt problem är att jag saknar en del CD-skivor här, främst med operativsystemet. Jag hittade en skiva som heter "Quick Restore" från Compaq, som hör till datorn. Kan det vara nåt att testa?

Annars blir det väl att åka hit på söndag igen, med CD-skivor...

Stort tack på förhand för alla tips och idéer!

Mvh trött Cissi (har grubblat hela natten på det här)

 

[Mark]

Sv: Akut! (Massor av virus)

tjena!

ja, peta du in skivan o se vad som är på. kanske är det precis vad som står, en restore. då kommer den antingen att spola bort de gamla för att på nytt lägga in det nya, eller så låter den dig välja, då kanske du kan välja tt göra en ny installtion över den gamla. det rekomederar jag.

Annars blir de väl mer mat hos morsan på söndag

gör då en ominstalltion utan format c: först.

Tänk på att ha en brandvägg i diskett om du ska totalrenovera datorn, annars blir det lätt moment 22