/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Underlige filer
Fra : Solvognen
Vist : 419 gange
100 point
Dato : 13-01-05 15:43

Jeg har i windowsmappen (XP-home) fået 2 nye filer: efoplaam.exe + efoplaam.pf, tilsyneladende dos-filer. Ved nogen om det er noget 'snavs' eller andet lign. exe-filen vil på nettet når pc'en tændes...
Hverken etrust-antivir., ad-aware eller Housecall onlinescan finder noget ?

Solvognen

 
 
Kommentar
Fra : tedd


Dato : 13-01-05 15:54

Hmm? Hvis den vil på nettet må der jo stå en reference til filen et eller andet sted? Ligger der noget under Startfolderen? Eller er der en henvisning hvis du kører msconfig under start?

Kommentar
Fra : Solvognen


Dato : 13-01-05 16:03

Ingenting i start, men ja, exe-filen optræder 2 gange i msconfig/start...
Nu har jeg også Google, men uden resultat.

Solvognen

Kommentar
Fra : tedd


Dato : 13-01-05 16:05

Tror det er noget snavs!! Kan du sende en hijackthis log fil ind?

Kommentar
Fra : Solvognen


Dato : 13-01-05 16:17

Det prøver jeg, der går nok tid (første gang)

Solvognen

Kommentar
Fra : Solvognen


Dato : 13-01-05 16:36

OK, her er Hijack-logfil:

Logfile of HijackThis v1.99.0
Scan saved at 16:21:18, on 13-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
E:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Programmer\ahead\InCD\InCD.exe
C:\ImageMate CompactFlash USB\SandIcon.Exe
C:\WINDOWS\efoplaam.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
e:\PROGRA~1\Webshots\webshots.scr
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\migselv\Skrivebord\HijackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekstrabladet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VetTray] e:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [QFccEb1] C:\WINDOWS\efoplaam.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\efoplaam.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Webshots.lnk = E:\Programmer\Webshots\Launcher.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VET Message Service - Unknown - C:\WINDOWS\System32\VetMsgNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)

Solvognen

Kommentar
Fra : berpox


Dato : 13-01-05 17:17

Det er disse der driller:
O4 - HKLM\..\Run: [QFccEb1] C:\WINDOWS\efoplaam.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W }ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\efoplaam.exe

Og jeg vil næsten æde min gamle hat på, at selv om du sletter dem, så kommer der nogle nye med et nyt navn næste gang du enten aktiver internet explorer, eller booter maskinen.

Du har med 99,9% sikkerhed snavs (trojansk virus) på maskinen.

Du må nok prøve med noget andet, f.eks McAfee/Norton/Sophos antivirus - eller f.eks. AVG antivirus....

mvh berpox



Accepteret svar
Fra : berpox

Modtaget 100 point
Dato : 13-01-05 17:17

nå ja - husk lige at slå systemgendannelsen fra....da du ellers blot risikerer at gendanne vira....

Godkendelse af svar
Fra : Solvognen


Dato : 13-01-05 18:59

Tak for svaret berpox.
En tur med AVG viste jeg havde fået istbar ind (igen-igen), så måske de 2 andre stammer herfra. Jeg prøvede som foreslået + istbar-removaltool, nu funker det igen. Underligt at hverken onlinescan ell. etrust finder dette..

Solvognen

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408857
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste