/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kender i denne - Trojan.Prova
Fra : emesen
Vist : 284 gange
200 point
Dato : 10-11-03 22:52

Jeg har lige været her inde og teste.
http://www.symantec.com/sabu/nis/nis_pe/
Der blev fundet følgende:
C:\WINNT\system32\pav.sig is infected with Trojan.Prova
C:\WINNT\system32\ActiveScan\pav.sig is infected with Trojan.Prova
Det ligner vist en trojansk hest af en eller anden slags.
Hvordan smider jeg den ud.
Jeg kører Win 2000 / IE5 / OE5
Emesen.


 
 
Accepteret svar
Fra : arlet

Modtaget 210 point
Dato : 10-11-03 22:54

Hent verdens bedste trojanscanner. Det hedder TrojanHunter og du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.

Kommentar
Fra : arlet


Dato : 10-11-03 22:54

Hent verdens bedste trojanscanner. Det hedder TrojanHunter og du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.

Kommentar
Fra : arlet


Dato : 10-11-03 22:55

Hov, den kom dobbelt.

Så kan du ikke være i tvivl om hvad du skal *S*

Kommentar
Fra : arlet


Dato : 10-11-03 22:59

Hvis den mod forventning ikke fjerne den, fjerner vi den med hijackthis.

Hent hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...



Manual for installering af hijackthis:

http://www.spywarefri.dk/hijackthis.man.htm

Kommentar
Fra : emesen


Dato : 10-11-03 23:11

ok - er i gang med hunter
Emesen.

Kommentar
Fra : emesen


Dato : 10-11-03 23:29

Har scannet winnt som den jo lå i:
Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
No trojan files found
Jeg må lige sige at jeg kørte på nettet på den anden skærm mens symantec testede, og det måtte jeg vist ikke.
men nu prøver jeg den anden.
emesen.


Kommentar
Fra : emesen


Dato : 10-11-03 23:41

Kode
Logfile of HijackThis v1.97.5
Scan saved at 23:33:08, on 10-11-2003
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINNT\loadqm.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\USB Media\shwicon.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmer\NetMeeting\conf.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
C:\Programmer\TrojanHunter 3.7\TrojanHunter.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Eyvind Christensen\Skrivebord\trojanhunter\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programmer\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.7\THGuard.exe"
O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Programmer\NetMeeting\conf.exe" -Background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SunClock5.lnk = C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: EZ Station.lnk = C:\WINNT\twain_32\IBMScanner\SxCenter.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37759.4822337963
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

Det var lige det.
Emesen.


Kommentar
Fra : arlet


Dato : 10-11-03 23:44

ja, hvad siger du til, hvis jeg nupper den i morgen tidlig...

Orker næsten ikke mere i dag..

Kommentar
Fra : emesen


Dato : 10-11-03 23:48

Ok lader den "hænge"
Emesen.

Kommentar
Fra : als


Dato : 10-11-03 23:48

Loggen er så ren som nyfalden sne og når TrojanHunter heller ikke finder noget har du ingen trojaner. TrojanHunter er en af de bedste trojanscannere overhovedet. Sov du bare roligt inat.

Kommentar
Fra : arlet


Dato : 10-11-03 23:54

Nej, den er ikke ren... der er lidt snavs i den, som vi skal have fixet, men umiddelbart er der ikke den trojaner, som du snakker om...

Godkendelse af svar
Fra : emesen


Dato : 10-11-03 23:55

Tak for svaret arlet og en god guide. Og tak als for en rolig nat.
Emesen.
                        

Kommentar
Fra : emesen


Dato : 10-11-03 23:57

Ok jeg venter stadig til i morgen - det haster ikke.
Emesen.

Kommentar
Fra : als


Dato : 11-11-03 00:00

Der er uvæsentlige ting som ikke har noget med snavs at gøre men som sagtens kan fjernes. Det er der ingen grund til at begynde på

Kommentar
Fra : als


Dato : 11-11-03 00:05

Dette er eksempelvis en uvæsentlig ting:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
men jeg går ikke i bagateller når alt andet er ok. Den ville jeg have taget med hvis du havde snavs på pc'en men det har du ikke. Der er et par enkelte flere, men lad dem da for gud skyld hvile i fred. Det er hverken spyware, virus, trojan eller andet.


Kommentar
Fra : emesen


Dato : 11-11-03 00:07

Jeg laver et image til i morgen, så sker der ikke så meget.
Emesen.

Kommentar
Fra : arlet


Dato : 11-11-03 08:07

Vi er alle forskellige, jeg har det sådan at jeg fjerner alt hvad der ikke skal være i loggen, når jeg får den under behandling.. Det er jeg blevet oplært til*S* Der er flere steder internationalt at de kun fjerner problemet og lader andre ting være. Jeg har det bedst, når jeg ved at loggen er tip top ren, når jeg afleverer den tilbage..

Der var et par småting:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
---------------------------------------------------------------------
Kender du de her, ellers skal de fixes:

O4 - Global Startup: EZ Station.lnk = C:\WINNT\twain_32\IBMScanner\SxCenter.exe
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programmer\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"



Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.


Kan lige tilføje, at de 3 ligner noget man skal bruge for at programmerne kan virke, men det er ikke tilfældet, så fixes dem trygt.










Kommentar
Fra : emesen


Dato : 11-11-03 08:24

Jeg er ikke ved min comp nu, så det venter til sidst på dagen.
EZ station er nok min scanner som popper op ved start selv om den er koblet fra (lidt iriterende)
Jeg har også noget CF kortlæser og usb HD og usb kortlæser/harddisk
Jeg vender tilbage.
Emesen.

Kommentar
Fra : arlet


Dato : 11-11-03 08:30

Det vi ikke kan finde nogen steder er enten noget hjemelavet noget, eller noget man alligevel ikke viil have kørerne, men det kan vi også klare.

Du kan hente msconfig til 2000 her http://www.svrops.com/svrops/dwnldoth.htm

Den henter du og åbner og går ind i start fanebladet..

der fjerner du markeringen på dem du ikke vil have starter op ved start og som sløver din opstart.
Du kan til hver en tid gå ind og ændre den igen.

Det kan du eft gøre inden du poster en ny log herind..

Kommentar
Fra : als


Dato : 11-11-03 13:11

De der er fixet og de i havde spørgsmål omkring er som nedenstående. Hvor vidt de er vigtige kan i selv afgøre. Snavs er det ikke.

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
Icon i proceslinien for hurtig adgang til Apple's "Quick Time"

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
Tjekker om der er nye drivere og andre opdateringer til dine Logitech produkter.

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
Hvis du bruger onlinescannerne fra Symantec. Den vil komme igen.

O4 - Global Startup: EZ Station.lnk = C:\WINNT\twain_32\IBMScanner\SxCenter.exe
Ganske rigtig til din scanner. Kan du deaktivere i msconfig hvis du ikke vil have at den skal starte op med windows.

O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programmer\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
Kortlæser for memorycards fra digitalkamera

Med venlig hilsen
og ha' en god dag
als








Kommentar
Fra : emesen


Dato : 11-11-03 16:59

Jeg har lavet image fil.
Fjernet de 5 stk i hijackthis.
Hakket nogle fra i msconfig.
genstart.
Her er så det nye resultat. (det er som om den startert hurtigere)
Kode
Logfile of HijackThis v1.97.5
Scan saved at 16:42:35, on 11-11-2003
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Eyvind Christensen\Skrivebord\trojanhunter\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\Eyvind Christensen\Skrivebord\trojanhunter\msconfig\msconfig.exe /auto
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SunClock5.lnk = C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37759.4822337963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

Selv om der måske ikke var noget særligt, var det da skægt at prøve.
Normalt går jeg med "livrem og seler", men min comp har intet virus/antispy eller anden sikkerhed..........endnu. (dog åbner jeg ikke mails som jeg ikke kender, og ingen sender filer til mig uden at jeg ved det.)
Men jeg laver ind i mellem backup image på en anden HD.
Emesen.




Kommentar
Fra : arlet


Dato : 11-11-03 17:55

Du er ren nu.

Jeg syntes at du skulle hente opdateringer på windows update.

Hvis det kunne friste med lidt gratis programmer, får du lige pakken.

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Ad-aware

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, ligesom dit windows og IE..

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Kommentar
Fra : searcher


Dato : 05-03-04 09:55

Jeg havde trojan hourse:second thought.B forskellige steder- disse er nu fjernet med en virusscanner online- tilbage har jeg det problem, at jeg får en medddelelsebox hvor der står, at nævnte trojansk hest er i system volume information restore. Skanner jeg dette med en scanner til trojansk hest, står der:adgang nægtet- alle andre scannere siger, at min pc er ren.

Kommentar
Fra : arlet


Dato : 05-03-04 10:10

Prøv at slå din systemgendannelse fra og scan igen.

først med trojanhunter : http://www.arlet.dk/faeettrojan.htm

derefter panda/housacall : http://www.arlet.dk/faeetvirus.htm

Kommentar
Fra : searcher


Dato : 05-03-04 11:18

jeg fjernede den manuelt og fandt den flere steder- derefter lavede jeg en systemgendannelse - alle online scannere viser jeg ikke har den, men advarslen fra AVG kommer - AVG siger også, den er ren- tror du ikke det bare er en advarsel, der ikke betyder noget- maskinen opfører sig normalt.

Kommentar
Fra : searcher


Dato : 05-03-04 11:19

Hvis jeg skal- hvordan slår jeg systemgendannelse fra?

Kommentar
Fra : arlet


Dato : 05-03-04 11:20

Hvis onlinescannerne siger du er ren, så er du ren. AVG er desværre kendt for sine "false potitiv" hvor den kommer med en advarsel om en mulig virus/trojan, men som ikke er der alligevel.

Så tag du den bare med ro. Hvis AVG forsætter med at komme med den fejlmeddelse, så reindstaller programmet, så kommer advarslen ikke mere.

Kommentar
Fra : arlet


Dato : 05-03-04 11:22
Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste