Msn Virus, hur får man bort?

Tjenare

för någon dag sedan fick jag en länk av en polare som jag var och tröck på tänkte inte på att det kunde vara nå virus, den skickar en länk åt dom jag skriver med men jag ser inte länken.. och det är alltid samma länk som e så hära (http:// img232c.lmageshack.net/Photoiragw.jpg) la ett mellan rum så ingen klickar och får viruset.. men iaf har försökt få bort den med olika program som

Nod32
HighJackThis
Combofix
MSN_Virus_Remover
Atava Virus Remover
RegistryBooster
Spyware Doctor

Någon som varit med om liknande? hjälp mig snälla..

Räcker med att byta lösenord på din mail för att få bort det.

Jag tror att han menar att det inte kommer spela någon roll.

Viruset är väl antagligen i datorn och körs när man använder MSN.
Det enda jag kan tänka mig är att formatera om.

De vanliga msn-virusen, de man får när man klickar på en länk av typen "Is that you? :O lol" blir man kvitt genom att helt enkelt bara byta lösenord iallafall. Således borde det lösa TS problem också, om han inte råkat ut för en extra illasinnad krabat.

lösenord har jag testat byta hjälper inte.. ska testa köra anti malware nu.. för adaware hittade en maleware men tror inte den fick bort den för länken skickas ännu.. hjälper ej avinstallera och installera msn testat det också

posta logg från malwarebytes och en hijackthis logg

glömde spara loggen på malwaren, men jag hade en och så fanns det en backdoor också men fick bort båda och har sagt åt polare att säga om den skickar ut länken och den verkar inte göra det mer Tack för hjälpen

Jag sitter nu i min sandlåda och besökte länken.
Det är en skadad fil som blivit uppladdad på hemsidan ImageShack vilket också tyder på att hemsidan är sårbar.

Filen heter Photo.pif och ger varningen Virus identified Worm/Delf.IYS ifrån länken img232c.imageshack.net/view.php (Använde AVG)
Filen ligger nu på mitt skrivbord med den färg glada MS DOS ikonen.

6,28kb stor och finns att ladda ner här: http://www.speedyshare.com/829388922.html
Hinner inte ta mig en titt vad filen innehåller nu men det får någon annan göra

EDIT: Såg nu att lmageshack.net/view.php också vill att du skall ladda ner filen.

pif filen är ju bara en genväg

Har testat att reversa programmet lite fort men inte lyckats lista ut exakt vad det gör (den skapar en ny process och skriver över minnet med ny kod som finns i filen, men olly gillar inte när jag försöker attacha till den nya processen).

Hur som helst, efter det att jag lekt med detta så ser jag att min sandbox maskin skickar udp-paket till ip: 93.158.114.107 och port 7008 (kan dock inte svära på att den inte gjorde det innan, eftersom jag lekt med andra program på den, men är 99% säker iaf).. och den får även svar därifrån. Känns onekligen som att ett RAT-program har blivit installerat. ip-nr till hör port80 .. och en snabb nmap-scan visar att den har ftp, ssh, http och mysql installerat.

Surfar man in till webservern så står det bara "none" men tittar man på sourcen så finns det in iframe som pekar till http://q38.ru:8080/index.php

Hrm, mystiken tätnar

Det var då jävligt bra gjort av dig! Märkte också att Olly inte ville ha med det att göra, även om man gjorde om filen till en .exe fil.

Hur fick du fram det mesta av informationen i filens innehåll?

Många av dessa MSN-spridda virus gör mer än skicka länkar!

Oftast kopplar de upp sig mot en IRC-server och agerar sedan som en zombiedator i ett botnet! Så till er som säger att det hjälper att byta lösenord, ja, det sprider sig kanske inte längre, men din dator ingår fortfarande i den stora högen med zombiedatorer!