My computer is infected by a Trojan in the temp folder, but avast! (I have the newest version of everything) can’t delete it “because the file isn’t packed” (I’m not sure about “packed” being the right word, I’m using the Dutch version of avast!, so it might be called different in the English version). ???

1. What does “packed” mean?
2. Can I delete the files using something like KillBox? And if so, will it work? I’m 100% sure they’re not important for any of my programs or my OS (which is Windows XP with Service Pack 2).
3. If I can’t, how am I supposed to kill this Trojan?

Thank you very very much in advance!

PS: I will edit this topic when I have the name of the Trojan (I forgot to write it down). I’m running avast! again.

Try combofix first and from that I should be able to determine where the problem lies

Download ComboFix from Here or Here to your Desktop.

[*]Double click combofix.exe and follow the prompts.
[*]When finished, it shall produce a log for you. Post that log and a HiJackthis log in your next reply

Note: Do not mouseclick combofix’s window while its running. That may cause it to stall

I’ll try what you said after avast is done scanning (I still need to mention the virus names, remember?).
How long does a Combofix scan approximately take?
Oh, and what’s HiJackthis?

Thanks again

Dependant on your system about 10 minutes, if you are on Vista it will take an initial 2 minutes to set itself up

Download & Run HijackThis.exe

[*]Download HJTInstall.exe to your Desktop.
[*]Doubleclick HJTInstall.exe to install it.
[*]By default it will install to C:\Program Files\Trend Micro\HijackThis .
[*]Click on Install.
[*]It will create a HijackThis icon on the desktop.
[*]Once installed, it will launch Hijackthis.
[*]Click on the Do a system scan and save a logfile button. It will scan and the log should open in notepad.
[*]Copy/Paste the log to your next reply please.

Don’t use the Analyse This button, its findings are dangerous if misinterpreted.
Don’t have Hijackthis fix anything yet. Most of what it finds will be harmless or even required.

Wow, I’m glad the Combofix program is done, it was pretty creepy to see your desktop dissappear :o
Anyway, here’s the Combofix log you needed. I’m going to run HiJackthis now

PS: some parts of the log are Dutch. If you need a translation, feel free to ask!

Ta-dah! ;D

No problem on the language the locations and file names are common

I can see no problems in those two logs how is your system performing. Or will I need to do a deeper search ?

I did an avast! check again and it doesn’t say anything anymore… ???
Does that mean it fixed itself? Doesn’t seem very likely to me… A trojan that fixes itself…

OR avast! did delete it somehow in some way I don’t know?

EDIT: my computer was running pretty slow when avast! was scanning (I think that’s pretty common!), but now it runs normal again.

Hoi Dries,

Waarschijnlijk heeft de ComboFix de malware helemaal verwijderd.
Hier kun je je HJT log bekijken & dit log staat de eerstvolgende drie dagen hier: http://www.hijackthis.de/logfiles/7fceff8825345bd0c3f31a397c0a7a42.html

Als essexboy zegt dat een OS schoon is, wil hierover ik niet graag met hem redetwisten.
Doe nog een compleet scannetje na met DrWebCureIt (non-resident scanner),
die hier te downloaden valt:
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

Wil je deze scanner in het vervolg opnieuw proberen, dan kan ie gedraaid worden naast
de residente avast scanner, maar dan wel steeds de laatste versie downloaden
en over de bestaande heen installeren. Verder zou je de meest recente DrWebCureIt
ook op een USB stick kunnen zetten om 'm altijd bij je te hebben.

groetjes,

polonus

essexyboy: Never mind my other post, you’re a professional so it’s a bit ridiculous to disagree with you

Thank you very much for everything! ;D
You’re the best!

polonus: leuk om hier een noorderbuur te ontmoeten! (ik ben Belg)
Maar om even terug on topic te gaan… snel even DrWebCureIt draaien en als die niks vindt is alles OK?

Hoi Dries,

Doe die scan maar. Maar we gaan maar niet over één nacht ijs en ik wil alles nog een keertje goed nachecken met het volgende programmaatje, dat dat heel grondig kan, nl. StartDreck.
Download dat van hier: http://ben.cheetham.me.uk/download/niksoft/startdreck217.zip
Dit programma uitpakken en op je bureaublad zetten en via de optie save onderaan het venster kun je een logfile van StartDreck krijgen, dat je hieronder laadt via attach voor je volgend berichtje. Ik kijk het dan voor je na,

polonus

Bedankt! Ik ga nu eerst die scan doen die je in je vorige post doorlinkte!

Snelle scan is afgehandeld. Niks gevonden.
Dan zal ik nu StartDreck eens uitvoeren.

Wow, dat was snel

Alstublieft!

Hoi Dries,

Zo hoort dat op een malware vrije computer. Zeg, je hebt Macrovision RTS Service (Ati2evxx.exe)draaien en volgens mij kijk je via een ATI Grafische Kaart (CDA11C11BA.exe), en ook de rest van de exe bestanden en de dll-files zijn veilig. Er lopen ook geen kwalijke processen (meer) op je comp. Schoon, of zoals we hier zouden zeggen “vast en zeker” en zoals ze bij jou daar zeggen “zeker en vast”. Hou het daar maar op en een goed weekend verder en hou alles veilig,

polonus

P.S. Hieronder een vriend van de “Clauwaert”

Werkelijk, uit de grond van mijn hart, hartelijk bedankt! Ik wou dat ik iets kon terugdoen! Je bent gewoon fantastisch! ;D

Euh… mag ik even iets vragen? Wij maken regelmatig een image van onze harde schijf (veiligheid voor alles!). Mag ik daar de volgende image gewoon overheen zetten of is het beter eerst de externe schijf te formatteren? En hoe zit het met systeemherstel?

Hallo Dries,

Maak even een nieuw herstelpunt (restore point) voor nu en draai dan je image er gewoon later overheen.

De meeste narigheid vang je af door niet met volledige admin/beheerders rechten het Internet op te gaan. Ik gebruik die rechten alleen voor het updaten van M$, verder heb ik een gewoon user account op mijn machine, waarop ik o.a. dit berichtje aan jou schrijf. Gebruiken kun je bijvoorbeeld ook dit: http://rds.yahoo.com/_ylt=A0geu.Ml4odHpk4AUxlXNyoA;_ylu=X3oDMTFhcTNkcHJlBHNlYwNzcgRwb3MDMgRjb2xvA2FjMgR2dGlkA1BSMDE1XzExOARsA1dTMQ--/SIG=13ma6h00e/EXP=1200173989/**http%3A//download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi

Ik heb Firefox of Flock als browser met de add-on NoScript. Met die add-on in Firefox of Flock ben je zelfs veilig voor nog niet ontdekte exploits, en als ik hyperlinks niet vertrouw scan ik ze met de DrWeb hyperlink av-scanner plug-in, ook een extensie voor Firefox, maar ook in IE of Opera te gebruiken, dat is scannen voordatje iets aan gaat klikken, handig hoor!. Gebruik altijd de laatste versie van Sun Java en gooi oudere versies eraf, want de malware zoekt die oudere versies anders op om rotzooi te kunnen draaien. Veiligheid is meer een voortgezette houding, leer dit aan, je zult er veel profijt van hebben. Welkom als lid van ons forum, kom hier vaker en probeer ook later anderen te helpen,

polonus

Ik heb net een herstelpunt gemaakt. Morgen zal ik een image maken en dan is dit alles achter de rug!
Nogmaals, hartelijk bedankt!
Je bent top!

No it didn’t fix itself Combofix killed it

Now the best part of the day ----- Your log now appears clean

Time for some housekeeping
[*] Click START then RUN
[*] Now type Combofix /u in the runbox and click OK. Note the space between the X and the U, it needs to be there.

[*]
http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png

[*] When shown the disclaimer, Select “2”

The above procedure will:
[] Delete the following:
[] ComboFix and its associated files and folders.
[] VundoFix backups, if present
[] The C:\Deckard folder, if present
[*] The C:_OtMoveIt folder, if present

[] Reset the clock settings.
[] Hide file extensions, if required.
[] Hide System/Hidden files, if required.
[] Set a new, clean Restore Point.

Now to get you off to a good start we will re-set your restore points so that all the bad stuff is gone for good. Then if you need to restore at some stage you will be clean. There are several ways to reset your your restore point but this is my method:

1. Select Start > All Programs > Accessories > System tools > System Restore.
2. On the dialogue box that appears select Create a Restore Point
3. Click NEXT
4. Enter a name e.g. Clean
5. Click CREATE

You now have a clean restore point, to get rid of the bad ones:

1. Select Start > All Programs > Accessories > System tools > Disk Cleanup.
2. In the Drop down box that appears select your main drive e.g. C
3. Click OK
4. The System will do some calculation and the display a dialogue box with TABS
5. Select the More Options Tab.
6. At the bottom will be a system restore box with a CLEANUP button click this
7. Accept the Warning and select OK again, the program will close and you are done

Now that you are clean, to help protect your computer in the future I recommend that you get the following free program:
[*]SpywareBlaster to help prevent spyware from installing in the first place.
It is critical to have both a firewall and anti virus to protect your system and to keep them updated.

To keep your operating system up to date visit
[*]Microsoft Windows Update

To learn more about how to protect yourself while on the internet read this article by Tony Klien: So how did I get infected in the first place?

Keep safe

the message about “file is not packed” is new since two beta versions back, i guess… it’s related to the change in accessing files and folders on your drive and it could mean “file not found” in case of infection found in some underlaying file… when a packed file is infected and the action delete is chosen, then it could happen, that another packed file is also infected, but the parent archive was already deleted… i’m not sure, that i’m 100% right - Igor could tell you more