/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Spyware og virus
Fra : holbaek 		Vist : 2106 gange
300 point
Dato : 19-09-06 11:19
Hej.

Sidder med min søsters pc, som hun desværre har fået fyldt på med lidt forskelligt skidt.

Den kører på Win 2000.
pcér har installeret AGV antivirus og Ad - adware.

AVG én er sat ud af spil og kan ikke aktiveres.
Ad-Adware finder en mængde snavs men er tilsyneladende ikke i stand til at fjerne dem alle, da de dukker op igen ved genstart.

Kan ikke få lov til at komme på nettet de steder hvor man evt. kunne få hjælp.
Hvergang man bare tænker på at skrive noget omkring antispyware, så lukker en nettet ned.
Har prøvet WindowsOnline scanning - fandt også en masse. Men igen, kunne tilsyneladende ikke fjerne det hele.

Kan ej heller få lov til at indlæse anti virus-spyware programmer fra nogle af drevene.

Har prøver at køre Ad-Adware i fejlsikker tilstand- uden held.
AVG starter heller ikke op her.
Noget rigtigt skidt faktisk.

Hjælp ønskes.

På forhånd tak.

Holbaek


 
 
Kommentar
Fra : disken

Dato : 19-09-06 12:24
Har du prøvet at hente hjælp på
http://www.spywarefri.dk/forum/
http://spywarefri.dk/


Kommentar
Fra : fluffyclaus

Dato : 19-09-06 12:25
Hej Holbaek

Hent denne og gem på dit skrivebord: http://www.spywarefri.dk/vaerktoj.htm#superantispyware

Hent denne og gem på dit skrivebord: http://www.spywareinfo.dk/download/mwav.exe

Installer "SuperAntiSpyware", og opdater den med det samme, men scan ikke endnu.
Slå din systemgendannelse fra og genstart i fejlsikret tilstand, og kør en scan.

Derefter dobbeltklik på Mwav(stadigvæk i fejlsikret tilstand), som så pakker sig selv ud.

Markér følgene: Memory, Startup-Folders, Drive, Registry, System-Folders, Services, All Local Drives, og Scan All Files. Tryk "Scan Clean" ... Det tager lidt tid...
Genstart din maskine i normal tilstand og slå din systemgendannelse til igen...

Det burde få maskinen op at køre igen.

vh fluffy




Kommentar
Fra : holbaek

Dato : 19-09-06 13:08
Har prøvet at komme ind på ovennævnte sider. Desværre bliver jeg smidt af inden jeg kan begynde download.
Min internet adgang bliver simpelhen overtaget og omdiregeret og jeg kan se på lamperne på min forbindelse at der er en særdeles livlig trafik til andetsteds på nettet - og vel nok også i form af anden downloads til pcén.

Mv.
Holbaek



Kommentar
Fra : holbaek

Dato : 19-09-06 13:10
Ups.
Skulle måske lige have skrevet, at jeg sidder og skriver hertil med forbindelsen i min egen computer.
Sorry.

Kommentar
Fra : berpox

Dato : 19-09-06 13:24
Så hent tingene ned, og brænd dem over på en CD-rom.

Fjern internetforbindelsen på den inficerede maskine.

Kør indholdet på CD-rommen så du kan få den syge rask igen....



Kommentar
Fra : holbaek

Dato : 19-09-06 13:31
Jeg kan desværre ikke få den til at læse fra cd rom dvd drev eller usb port.
Den nægter adgang til filerne også igennem en kør komando

Kommentar
Fra : stl_s

Dato : 19-09-06 17:41
Prøv denne her først.

Hent denne scanner ned til skrivebordet ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Vent med at køre den.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Dobbeltklik på drweb-cureit.exe. Den vil køre en express scan, og det siger du ja til.

Når den skriver "Select object for scanning" nederst til venstre, skal du klikke på Options->Change settings.

Skift til fanebladet SCAN, og fjern fluebenet ved "Heuristic analysis".

Skift til fanebladet Actions. Under ADWARE indstiller du til DELETE. Alle andre punkter under MALWARE sættes til MOVE. Fjern fluebenet ved PROMPT ON ACTION. Klik ANVEND og OK.

Klik på de drev du vil have scannet. Der kommer en rød prik, som viser at de er valgt.

Klik på den grønne pil ovre til højre på siden, for at starte scanningen.

Kopier linket til ftp´en ind i din adresselinie.

Gør dette bagefter:

Hent HijackThis her http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe Opret en selvstændig mappe til HijackThis, kald den f,eks HJT. Kør Hijackthis, klik "Do a systemscan and save a logfile". Kopier loggen og sæt den her ind i tråden, så kigger jeg på den. Du må ikke slette noget selv med HijackThis. Jeg skal nok give dig en vejledning til hvad du skal gøre.




Kommentar
Fra : stl_s

Dato : 19-09-06 17:43
Hvis det heller ikke lykkes med Dr.Web scanneren, så kom bare med Hijackthis loggen.

Kommentar
Fra : holbaek

Dato : 20-09-06 01:26

Hej og tak for rådene.

Jeg har nu fået kørt en scanning med Dr.Web
En masse blev fundet og fjernet - tak for det.
Pcén går stadig amok, når jeg er på nettet - nåede at hente en masse nyt skidt og møg mens hijackén blev hentet.

Har kørt endnu en gang Dr.Web og derefter Hijackthis og her er så loggen.

På forhånd tak.

Holbaek


Logfile of HijackThis v1.99.1
Scan saved at 00:26:44, on 20-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winservnt32.exe
C:\WINNT\system32\rundll32.exe
c:\dfndrff_e8.exe
c:\kybrdff_e8.exe
C:\WINNT\Explorer.exe
C:\Programmer\Microsoft Office\Office\WINWORD.EXE
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programmer\Deskbar\deskbar.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [bthsvc] rundll32.exe C:\WINNT\system32\bthsvc.dll,start
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e8.exe
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e8.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e8.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [shell] "C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: RunOnce - C:\WINNT\system32\k044lahq1d4e.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINNT\QW5kZXJzZW4\command.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Logon Service - Unknown owner - C:\WINNT\system32\dllcache\mslogon.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programmer\Network Monitor\netmon.exe
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)



Kommentar
Fra : stl_s

Dato : 20-09-06 02:15
Ak ak, der er ikke ret meget i den log som må være der. Det kommer til at tage tid, med flere scanninger og removal tools. Start med disse to:



Hent denne virus scanner, den skal du bruge senere.

http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files.



Hent denne scanner http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Installer, og opdater scanneren manuelt. OBS, ved installationen bliver det foreslået at du registrerer med din email. Det behøver du ikke at gøre.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Kør scanneren MWAV.exe. Klik Scan/clean.


Når den er færdig:


Start SuperAntiSpyware, klik "Scan your computer", sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scannereren fjerne det.

Genstart til normal tilstand (scanneren tilbyder måske at gøre det).

Åbn scanneren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med en frisk HijackThis log.

Kommentar
Fra : stl_s

Dato : 20-09-06 02:25
Jeg vil foreslå at du henter programmerne på din egen maskine, så du ikke er på nettet med den inficerede, for som du selv siger, så bliver den ved med at hente møg ned.

Kommentar
Fra : fluffyclaus

Dato : 20-09-06 08:27
stl_s -> Jeg må jo erkende at være en nysgerrig sjæl Er der nogen speciel årsag til at du ikke beder holbaek om at slå systemgendannelse fra?

vh Fluffy

Kommentar
Fra : holbaek

Dato : 20-09-06 10:56
Hej igen.

Så har jeg fået hentet programmerne og overført dem til problem pcén via usb nøgle.
Jeg har endnu ikke lavet en opdatering på SUPERAntiSpyware1241.exe, pga.at den ikke er koplet op.

Desværre tillader pcén ikke at jeg kører disse programmer.

I mwav.exe , kan jeg få lov til at klikke på Mwav scan. Så starter den tilsyneladende op men hopper lynhurtigt væk fra startbilledet og går istedet over til grå boks med gul/rød figur i bevægelse - derefter stopper programmet tilsyneladende.

I SUPERAntiSpyware1241.exe kan jeg ikke komme længere end til at jeg skal til at acceptere betingelserne for brug, før den smider mig af.

Jeg har så kørt drweb-cureit.exe endnu engang - det kan jeg godt få lov til.
Her finder den 4 filer i C:Winnt.system 32, som den kalderAdare look 2 me.
De er slettet.

Hmmmm....
Håber at der en en anden mulighed for at komme til at scanne pcén.

Med venlig hilsen

Holbaek








Kommentar
Fra : holbaek

Dato : 20-09-06 12:57
Så lykkedes det mig at få scanne pcén med henholdsvis SUPERAntiSpyware1241.exe og mwav.exe
Det var ikke umiddelbart muligt, så alternativet var at jeg gik ind i kørende proccesser og lukkede nogle af dem af, end til jeg kunne få lov.
Jeg ved ikke om det er ok og om det er brugbart, men det er hvad jeg har.

Pcén nægter mig stadig adgang til antiprogrammerne.

Hermed følger logs.

Logfile of HijackThis v1.99.1
Scan saved at 12:08:21, on 20-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winservnt32.exe
C:\WINNT\Explorer.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\system32\msimn0.exe
C:\Programmer\Nikon\NkView5\NkvMon.exe
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programmer\Deskbar\deskbar.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [SvcManager] msimn0.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Logon Service - Unknown owner - C:\WINNT\system32\dllcache\mslogon.exe (file missing)
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)


Og endnu en log

SUPERAntiSpyware Scan Log
Generated 09/20/2006 at 11:29 AM

Core Rules Database Version : 2847
Trace Rules Database Version: 1028

Memory threats detected : 1
Registry threats detected : 63
File threats detected : 31

Adware.NicTech Networks
   C:\WINNT\SYSTEM32\GUARD.TMP
   C:\WINNT\SYSTEM32\GUARD.TMP
   C:\WINNT\system32\licalsec.dll

Trojan.IBM/Shell
   [shell] C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00003.exe
   C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00003.exe

Adware.Tracking Cookie
   C:\Documents and Settings\Andersen\Cookies\andersen@partygaming.122.2o7[1].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@ad.yieldmanager[1].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@publishers.clickbooth[2].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@cpvfeed[2].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@partypoker[2].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@scanner[1].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@msnservices.112.2o7[1].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@www.winantivirus[1].txt
   C:\Documents and Settings\Andersen\Cookies\andersen@winantivirus[1].txt

Trojan.SpySheriff
   C:\Program Files\SpySheriff\base.avd
   C:\Program Files\SpySheriff\base001.avd
   C:\Program Files\SpySheriff\base002.avd
   C:\Program Files\SpySheriff\found.wav
   C:\Program Files\SpySheriff\heur000.dll
   C:\Program Files\SpySheriff\heur001.dll
   C:\Program Files\SpySheriff\heur002.dll
   C:\Program Files\SpySheriff\heur003.dll
   C:\Program Files\SpySheriff\notfound.wav
   C:\Program Files\SpySheriff\removed.wav
   C:\Program Files\SpySheriff\SpySheriff.exe
   C:\Program Files\SpySheriff\SpySheriff.dvm
   C:\Program Files\SpySheriff

Trojan.NetMon/DNSChange
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#Type
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#Start
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#ErrorControl
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#ImagePath
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#DisplayName
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor#ObjectName
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Security
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Security#Security
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum#0
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum#Count
   HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum#NextInstance
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR#NextInstance
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Service
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Legacy
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ConfigFlags
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#Class
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#ClassGUID
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000#DeviceDesc
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#Contact
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#DisplayName
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#DisplayVersion
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#NoModify
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#NoRemove
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#NoRepair
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}#UninstallString
   C:\Programmer\Network Monitor

Trojan.cmdService
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#Type
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#Start
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#ErrorControl
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#ImagePath
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#DisplayName
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService#ObjectName
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Security
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Security#Security
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum#0
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum#Count
   HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum#NextInstance
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#Contact
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#DisplayName
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#DisplayVersion
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#NoModify
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#NoRemove
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#NoRepair
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}#UninstallString
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE#NextInstance
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Service
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Legacy
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ConfigFlags
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Class
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ClassGUID
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#DeviceDesc

Trojan.SmartLoad
   HKLM\Software\Microsoft\drsmartload2
   HKLM\Software\Microsoft\drsmartload2#Installed

Trojan.PSA3D
   C:\WINNT\system32\ps.a3d

Trojan.Unknown Origin
   C:\WINNT\QW5kZXJzZW4\kqc4trLWtqb.vbs
   C:\WINNT\uninstall_nmon.vbs
   C:\Documents and Settings\Andersen\DoctorWeb\Quarantine\cmdinst.exe
   C:\Documents and Settings\Andersen\DoctorWeb\Quarantine\installer[1].exe

Med venlig hilsen
Holbaek



Kommentar
Fra : stl_s

Dato : 20-09-06 13:23
Godt at du fik kørt scannerne, ved hjælp af lidt kreativitet.


Nu prøver vi med disse fixværktøjer, som du burde kunne få lov til at køre. De skulle gerne muge godt ud.


Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

Kør så combofix.exe, og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt


1. Hent og pak SmitfraudFix.zip ud til dit Skrivebord.

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.


2. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1


3. Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Fixet genstarter muligvis computeren.


SmitfraudFix laver også en lille tekstfil (log). Kopier den her ind, sammen med en frisk HijackThis log.



fluffyclaus -> Det er altid bedst at vente med systemgendannelsen til sidst, i tilfælde af at noget skulle gå galt.

Kommentar
Fra : stl_s

Dato : 20-09-06 13:31
Iøvrigt, hvis der ligger mærkelige filer på skrivebordet, så slet dem endelig, hvis du ikke allerede har gjort det.

Kommentar
Fra : holbaek

Dato : 20-09-06 13:32
Ok - og forløbig tak.

jeg prøver tingene af og vender tilbage.



Kommentar
Fra : holbaek

Dato : 20-09-06 14:07
Hermed 3 rapporter.
Der var ingen problemer med at å lov til at køre de 2 programmer.
Er opmærksom på nye filer - men tak.
mvh.

Holbaek


Andersen - on 20-09-2006 13:28:37,62 Service Pack 4
ComboFix 06.09.20 - Running from: "C:\Documents and Settings\Andersen\Skrivebord"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\winservnt32.exe
C:\drsmartload.exe
C:\deskbar8.exe
C:\deskbar.exe
C:\winservnt32.exe
C:\Programmer\Deskbar


((((((((((((((((((((((((((((((( Files Created from 2006-08-20 to 2006-09-20 ))))))))))))))))))))))))))))))))))


2006-09-20   00:30   77,312   --a------   C:\vekgppwt.exe
2006-09-20   00:30   75,776   --a------   C:\cdxwasg.exe
2006-09-20   00:30   56,856   --a------   C:\alfovo.exe
2006-09-20   00:30   40,960   --a------   C:\WINNT\system32\msimn0.exe
2006-09-19   12:48   75,776   --a------   C:\ucvefcin.exe
2006-09-19   12:48   656   --a------   C:\WINNT\system32\sfc_os.dll
2006-09-19   12:48   41,984   --a------   C:\dmxy.exe
2006-09-19   12:48   37,376   --a------   C:\WINNT\system32\msvcrl.dll
2006-09-19   12:47   72,704   --a------   C:\vsvgjr.exe
2006-09-19   12:47   7,680   --a------   C:\steal.exe
2006-09-19   12:22   466   --a------   C:\DelUS.bat
2006-09-19   07:55   19,728   --a------   C:\WINNT\system32\hidserv.exe
2006-09-17   19:26   540,672   --a------   C:\WINNT\system32\77115_netapi.exe
2006-09-17   19:14   189,440   --a------   C:\WINNT\system32\41031_netapi.exe
2006-09-17   18:50   189,440   --a------   C:\WINNT\system32\80545_netapi.exe
2006-09-17   18:40   189,440   --a------   C:\WINNT\system32\50422_netapi.exe
2006-09-11   16:37   0   --a------   C:\WINNT\system32\04015_netapi.exe
2006-09-11   16:32   189,440   --a------   C:\WINNT\system32\86011_netapi.exe
2006-09-07   19:59   0   --a------   C:\WINNT\system32\WinzAPI32.exe
2006-09-01   19:30   0   --a------   C:\WINNT\system32\23048_netapi.exe
2006-08-27   09:46   363,520   --a------   C:\WINNT\system32\cserv.dll
2006-08-27   09:45   454,482   --a------   C:\ws.exe
2006-08-20   14:29   2,368   --a------   C:\WINNT\system32\SVKP.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-20 11:15    --------   d--------   C:\Programmer\SUPERAntiSpyware
2006-09-20 11:15    --------   d--------   C:\Documents and Settings\Andersen\Application Data\SUPERAntiSpyware.com
2006-08-10 08:48    777472   --a------   C:\WINNT\system32\drivers\avg7core.sys
2006-08-10 08:48    27904   --a------   C:\WINNT\system32\drivers\avg7rsxp.sys
2006-08-10 08:48    26912   --a------   C:\WINNT\system32\drivers\avg7rsnt.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ms Update WinServices NT/XP"="winservnt32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"SoundMan"="SOUNDMAN.EXE"
"IgfxTray"="C:\\WINNT\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINNT\\System32\\hkcmd.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"AVG7_EMC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgemc.exe"
"PrinTray"="C:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\2\\printray.exe"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"SvcManager"="msimn0.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Documents and Settings\\Andersen\\Dokumenter\\Billeder\\afelix.gif"
"SubscribedURL"="C:\\Documents and Settings\\Andersen\\Dokumenter\\Billeder\\afelix.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,50,01,00,00,1f,00,00,00,80,00,00,00,76,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,68,02,00,00,dd,00,00,00,e6,00,00,00,64,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:00,00,00,00,44,93,57,02,00,00,00,40,b0,a6,57,02,18,c3,\
76,71,40,26,71,71

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Min aktuelle startside"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3c,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,1f,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"1"="C:\\WINNT\\svchost.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkad.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkbd.sys

Completion time: Wed 2006-09-20 13:29:06.40
ComboFix.txt


SmitFraudFix v2.94

Scan done at 13:45:46,71, on 20-09-2006
Run from C:\Documents and Settings\Andersen\Skrivebord\SmitfraudFix
OS: Microsoft Windows 2000 [version 5.00.2195] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\uniq Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



Logfile of HijackThis v1.99.1
Scan saved at 13:47:17, on 20-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\explorer.exe
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [SvcManager] msimn0.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Logon Service - Unknown owner - C:\WINNT\system32\dllcache\mslogon.exe (file missing)
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)



Kommentar
Fra : stl_s

Dato : 20-09-06 14:53
Det ser fint ud, og vi skal nok få has på skidtet. Næste vejledning tager lidt tid. I mellemtiden vil jeg bede dig hente og køre dette værktøj, UnHackme http://www.greatis.com/unhackme.zip

Installer det, og klik Check -> Check me now , og hvis det finder noget klik STOP, og lad det genstarte hvis nødvendigt.

Kommentar
Fra : holbaek

Dato : 20-09-06 15:03
ok.

Jeg prøver det af.
mvh.
Holbaek

Kommentar
Fra : holbaek

Dato : 20-09-06 15:22
Godt så..
Lidt lys i mørket.
Besked fra unhackme : no trojan found.



Kommentar
Fra : stl_s

Dato : 20-09-06 15:58
Udmærket, der var også kun en del af et rootkit, som ikke nødvendigvis betød at hele rootkittet var der, men godt at få bekræftet at det ikke var der.

Det ser nu ikke så mørkt ud mere .


Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

1. Pak Avenger-programmet ud og dobbeltklik på avenger.exe

2. Sæt en prik i "Input Script Manually" og klik på luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

-----------------------------

registry keys to delete:
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkad.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkbd.sys

Files to delete:
C:\vekgppwt.exe
C:\cdxwasg.exe
C:\alfovo.exe
C:\WINNT\system32\msimn0.exe
C:\ucvefcin.exe
C:\dmxy.exe
C:\WINNT\system32\msvcrl.dll
C:\vsvgjr.exe
C:\steal.exe
C:\DelUS.bat
C:\WINNT\system32\77115_netapi.exe
C:\WINNT\system32\41031_netapi.exe
C:\WINNT\system32\80545_netapi.exe
C:\WINNT\system32\50422_netapi.exe
C:\WINNT\system32\04015_netapi.exe
C:\WINNT\system32\86011_netapi.exe
C:\WINNT\system32\WinzAPI32.exe
C:\WINNT\system32\23048_netapi.exe
C:\WINNT\system32\cserv.dll
C:\ws.exe
C:\WINNT\system32\SVKP.sys

-----------------------------

3. Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

4. Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

--------------------------------------------------------------------------

Kør Combofix igen, og læg loggen herind. Kør også HijackThis igen fra normal tilstand.



Kommentar
Fra : holbaek

Dato : 20-09-06 16:10
ok - igen.

Jeg går igang.

Kommentar
Fra : holbaek

Dato : 20-09-06 16:33
Så er jeg tilbage med mere arbejde - meget glad for din hjælp.

Ingen problemer med at afvikle avenger.

Her følger 3 rapporter.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qxucfehd

*******************

Script file located at: \??\C:\qjpcekmg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkad.sys deleted successfully.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\twpkbd.sys deleted successfully.
File C:\vekgppwt.exe deleted successfully.
File C:\cdxwasg.exe deleted successfully.
File C:\alfovo.exe deleted successfully.
File C:\WINNT\system32\msimn0.exe deleted successfully.
File C:\ucvefcin.exe deleted successfully.
File C:\dmxy.exe deleted successfully.
File C:\WINNT\system32\msvcrl.dll deleted successfully.
File C:\vsvgjr.exe deleted successfully.
File C:\steal.exe deleted successfully.
File C:\DelUS.bat deleted successfully.
File C:\WINNT\system32\77115_netapi.exe deleted successfully.
File C:\WINNT\system32\41031_netapi.exe deleted successfully.
File C:\WINNT\system32\80545_netapi.exe deleted successfully.
File C:\WINNT\system32\50422_netapi.exe deleted successfully.
File C:\WINNT\system32\04015_netapi.exe deleted successfully.
File C:\WINNT\system32\86011_netapi.exe deleted successfully.
File C:\WINNT\system32\WinzAPI32.exe deleted successfully.
File C:\WINNT\system32\23048_netapi.exe deleted successfully.
File C:\WINNT\system32\cserv.dll deleted successfully.
File C:\ws.exe deleted successfully.
File C:\WINNT\system32\SVKP.sys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Andersen - on 20-09-2006 16:13:59,26 Service Pack 4
ComboFix 06.09.20 - Running from: "C:\Documents and Settings\Andersen\Skrivebord\Inga ny"

((((((((((((((((((((((((((((((( Files Created from 2006-08-20 to 2006-09-20 ))))))))))))))))))))))))))))))))))


2006-09-20   13:45   53,248   --a------   C:\WINNT\system32\Process.exe
2006-09-20   13:45   40,960   --a------   C:\WINNT\system32\swsc.exe
2006-09-20   13:45   288,417   --a------   C:\WINNT\system32\SrchSTS.exe
2006-09-20   13:45   135,168   --a------   C:\WINNT\system32\swreg.exe
2006-09-19   12:48   656   --a------   C:\WINNT\system32\sfc_os.dll
2006-09-19   07:55   19,728   --a------   C:\WINNT\system32\hidserv.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-20 15:03    --------   d--------   C:\Programmer\UnHackMe
2006-09-20 11:15    --------   d--------   C:\Programmer\SUPERAntiSpyware
2006-09-20 11:15    --------   d--------   C:\Documents and Settings\Andersen\Application Data\SUPERAntiSpyware.com
2006-09-17 17:15    --------   d--------   C:\Programmer\Lavasoft
2006-08-10 08:48    777472   --a------   C:\WINNT\system32\drivers\avg7core.sys
2006-08-10 08:48    27904   --a------   C:\WINNT\system32\drivers\avg7rsxp.sys
2006-08-10 08:48    26912   --a------   C:\WINNT\system32\drivers\avg7rsnt.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ms Update WinServices NT/XP"="winservnt32.exe"
"UnHackMe Monitor"="C:\\Programmer\\UnHackMe\\hackmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"SoundMan"="SOUNDMAN.EXE"
"IgfxTray"="C:\\WINNT\\System32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINNT\\System32\\hkcmd.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"AVG7_EMC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgemc.exe"
"PrinTray"="C:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\2\\printray.exe"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"SvcManager"="msimn0.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000003
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"^SetupICWDesktop"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
"1"="C:\\WINNT\\svchost.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000095

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"="{7007ACCF-3202-11D1-AAD2-00805FC1270E}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: Wed 2006-09-20 16:14:19.79
ComboFix.txt
ComboFix2.txt



Logfile of HijackThis v1.99.1
Scan saved at 16:15:01, on 20-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\UnHackMe\hackmon.exe
C:\Programmer\Nikon\NkView5\NkvMon.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [SvcManager] msimn0.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programmer\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Microsoft Logon Service - Unknown owner - C:\WINNT\system32\dllcache\mslogon.exe (file missing)
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)

God arbejdslyst og endnu engang foreløbig tak.

mvh.
Holbaek





Kommentar
Fra : stl_s

Dato : 20-09-06 17:37
Det ser fint ud efterhånden, og det vil nok ikke vare længe før der er normale tilstande på maskinen igen.


Kør en scanning med HijackThis, så du kan se alle filer. Luk alle vinduer, sæt flueben ved disse linier, og klik fix checked.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,winservnt32.exe
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [SvcManager] msimn0.exe
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O23 - Service: Microsoft Logon Service - Unknown owner - C:\WINNT\system32\dllcache\mslogon.exe (file missing)
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)


Hent CleanUp her, og installer programmet. Et godt lille renseprogram, som din søster også kan have nytte af fremover http://www.greyknight17.com/spy/CleanUp.exe

Gå i "options", og sørg for der kun er flueben ved Cookies og CleanUp all users. Kør så en cleanup.

Genstart, og kom med en frisk HijackThis log.

Kommentar
Fra : holbaek

Dato : 20-09-06 17:45
jeg starter op

Kommentar
Fra : holbaek

Dato : 20-09-06 18:12
Så er der en ny logfile

Logfile of HijackThis v1.99.1
Scan saved at 17:56:49, on 20-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\UnHackMe\hackmon.exe
C:\Programmer\Nikon\NkView5\NkvMon.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programmer\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)



Kommentar
Fra : stl_s

Dato : 20-09-06 18:52
Der var lige et par services som ikke ville lade sig fixe, så der må vi lige gøre noget andet.

Gå i start/kør, skriv cmd og klik ok.

I cmd vinduet skriver du sc delete nortons og trykker <enter>

Gentag med kommandoen sc delete wgareg

Kør HijackThis igen, og tjek at disse liner er væk i loggen nu:

O23 - Service: norton (nortons) - Unknown owner - C:\WINNT\nvsnav.exe (file missing)
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing)

Ellers ser det godt ud her fra. Hvordan kører maskinen nu ? Er AVG aktiveret igen ? Ellers skal det nok lige geninstalleres.

Kommentar
Fra : holbaek

Dato : 20-09-06 19:07
Maskinen kører tilsyneladende stabilt.
AVG én er kommet frem på proseslinien, og hurtigheden er kraftigt forøget.
Skrivebordet er hoppet ud af aktivt disktop. jeg har med vilje ikke genoprettet det - vat lidt i tvivl om årsag.




Kommentar
Fra : holbaek

Dato : 20-09-06 19:26
kan ikke få lov til at skrive sc i kommando. Får beskeden :
"sc" blev ikke godkendt som en intern eller extern kommando, et program eller en batchfil.

Er desværre nødt til at løbe for i dag - har fået gæster.
Vil gerne have lov til at vende tilbage i morgen og siger samtidig mange mange tak for hjælpen til nu.

MVH
Holbaek

Kommentar
Fra : stl_s

Dato : 20-09-06 19:51
Det lyder som om alt er normalt nu. Active desktop blev brugt af malwaren og er deaktiveret nu, så det er helt som det skal være.

Jeg vil mene at alt det farlige skidt er væk nu, men der kan måske ligge lidt smårester, så en scanning med et opdateret Ad-Aware og evt Ewido micro http://download.ewido.net/ewido_micro.exe kunne være en god ide, selv om du nok er lidt træt af at scanne.


Der har været nogle rigtigt grimme ting inde, og jeg vil anbefale at du skifter alle passwords på maskinen.


AVG er et udmærket antivirus, men det kan gøres bedre gratis, og har også spywarebeskyttelse http://www.kandu.dk/Tip14500.aspx


En firewall bør hun også have. Denne er gratis, og har en dansk sprogpakke indbygget http://www.goldtach.com/firewall-download/firewall-download.htm



Kommentar
Fra : stl_s

Dato : 20-09-06 20:00
Mht til de services, så prøv dette:

Gå i Start/Kør og Skriv: services.msc Find så de to tjenester "". Dobbeltklik på tjenesten. Under "Tjenestestatus" klikker du "STOP", under "Starttype" vælger du "DEAKTIVERET". Fix dem med HijackThis, hvis de stadigvæk er der.

Kommentar
Fra : Shadowflip

Dato : 21-09-06 00:10
Format C lyder som en god ide! ;)

Kommentar
Fra : stl_s

Dato : 21-09-06 01:50
Hvorfor dog det ? Den er jo ren nu.

Kommentar
Fra : miritdk

Dato : 21-09-06 02:11
shadowflip ????? tror du skal lade dem om det der har forstand på det ikke ?

Kommentar
Fra : holbaek

Dato : 21-09-06 16:09
Hej igen.

Så er jeg tilbage på pinden.
Prøver tingene af og vender tilbage.

Holbaek


Kommentar
Fra : holbaek

Dato : 21-09-06 17:52
Hej.

Angående services.msc, så var begge tjenester "stoppet" men på automatisk.
Begge er nu "deaktiveret" - jeg kan ikke selv finde dem i hjiloggen - men medsenden den.

ewido_micro.exe har jeg hentet men kan ikke køre den. Melder error ved umiddelbart opstart af program.
Ved ikke om den konfligter med nogle af alle de andre tilsvarende anti programmer.

Har kørt scanning med Dr,Web - AVG- og Ad-Aware.
Sender resultater med.

Har ikke opdateret programmerne, da jeg stadig er usikker på tilslutning til nettet.

Logs :

Logfile of HijackThis v1.99.1
Scan saved at 16:17:31, on 21-09-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\UnHackMe\hackmon.exe
C:\Programmer\Nikon\NkView5\NkvMon.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Andersen\Skrivebord\HJI\hjtspecial.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programmer\UnHackMe\hackmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmer\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmer\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE


Ad-Aware SE Build 1.06r1
Logfile Created on:21. september 2006 16:19:49
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R124 19.09.2006
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):6 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


21-09-2006 16:19:49 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]

#:2 [winlogon.exe]

#:3 [services.exe]

#:4 [lsass.exe]

#:5 [svchost.exe]

#:6 [lexbces.exe]

#:7 [spoolsv.exe]

#:8 [lexpps.exe]

#:9 [avgamsvr.exe]

#:10 [avgupsvc.exe]

#:11 [svchost.exe]

#:12 [hidserv.exe]

#:13 [mstask.exe]

#:14 [winmgmt.exe]

#:15 [explorer.exe]

#:16 [soundman.exe]

#:17 [igfxtray.exe]

#:18 [hkcmd.exe]

#:19 [avgcc.exe]

#:20 [avgemc.exe]

#:21 [hackmon.exe]

#:22 [nkvmon.exe]

#:23 [wzqkpick.exe]

#:24 [ad-aware.exe]

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINNT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\WINNT\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\DOCUME~1\Andersen\LOKALE~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Scanning Hosts file......
Hosts file location:"C:\WINNT\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
48 entries scanned.
New critical objects:0
Objects found so far: 0




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 6

16:20:47 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:00:57.360
Objects scanned:49297
Objects identified:0
Objects ignored:0
New critical objects:0


AVG loggen.
Kunne ikke finde ud af at kopiere den anderledes.
Fandt tilsyneladende en enkelt.

</rec>
- <rec time="2006/09/21 16:25:39" user="Andersen" source="General">
<value>@HL_TestStarted</value>
<attr name="testname">@TestName_02</attr>
</rec>
- <rec time="2006/09/21 16:35:31" user="Andersen" source="Virus">
<value>@HL_ReportFind</value>
<attr name="where">C:\Program Files\secure32.html</attr>
<attr name="type">@EID_Fi_vir</attr>
<attr name="what">SpySheriff</attr>
</rec>
- <rec time="2006/09/21 16:35:38" user="Andersen" source="General">
<value>@HL_TestEnded</value>
<attr name="testname">@TestName_02</attr>
<attr name="infectedfiles">1</attr>
</rec>
- <rec time="2006/09/21 16:35:40" user="Andersen" source="Virus">
<value>@HL_ActionTakenFailed</value>
<attr name="filename">C:\Program Files\secure32.html</attr>
<attr name="action">@HL_ActCleaned</attr>
</rec>
</history>



DR.Web

Log og 4 stk. gæster

Process.exe;C:\WINNT\system32;Tool.Prockill;;                                    
84785_redworld[1].exe;C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\YH6D8X4T;Probably DLOADER.IRC.PWS.Trojan;;   
Process.exe;C:\Documents and Settings\Andersen\Skrivebord\Inga ny\SmitfraudFix;Tool.Prockill;;                        
restart.exe;C:\Documents and Settings\Andersen\Skrivebord\Inga ny\SmitfraudFix;Tool.ShutDown.11;;                     
Mvh.
Holbaek

Kommentar
Fra : stl_s

Dato : 21-09-06 18:53
Det ser nu godt ud, så du kan godt gå på nettet med den nu.

Det dr.Web finder er en "måske trojandownloader" i dine tempfiler. Det er ikke sikkert den vitterligt er inficeret, og Dr.Web har fjernet den. Men prøv lige at køre CleanUp igen. Lad det logge af efter rensningen. De andre filer er fra Smitfraudfix, hvilket er helt normalt.

AVG finder formentligt en rest. En html fil. Prøv lige at søge på secure32.html.

Den error i Ewido er måske fordi den ikke kan opdater sig ved start af programmet. Hvis det fortsat ikke virker når du er på nettet, så prøv at hente den "rigtige" Ewido http://www.ewido.net/en/download/

Service problemet er løst. Fint nok .

UnhackMe kan du godt fjerne, så den ikke bliver med at spørge om registrering.

Kommentar
Fra : holbaek

Dato : 21-09-06 21:55
Nååå
Har siddet lidt og kæmpet med problem pcén
Har været på nettet og opdateret :
AVG - DR.web - SUPERAntiSpyware -
Kørt scanninger
kørt cleanup
Søgt efter : secure32.html. fandt den ikke.
UnhackMe er fjernet.

Men men men.. der dukkede lidt op under scanning.
Jeg har en rapport fra AVG
I min egen lille kopistørrelse.

C:\WINNT\system32\twpkbd.sys   Deleted
C:\WINNT\system32\zq.sys   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\OD2LSB0J\48761_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\Q945CP8L\16211_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\Q945CP8L\50171_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\Q945CP8L\37678_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\Q945CP8L\40313_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\IV8RSZ6V\45773_netapi[1].exe   Deleted
C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\IV8RSZ6V\17473_netapi[1].exe   Deleted
C:\WINNT\System32\kernel32.dll   Change   Changed      
C:\WINNT\System32\wsock32.dll   Change   Changed      
C:\WINNT\System32\user32.dll   Change   Changed      
C:\WINNT\System32\shell32.dll   Change   Changed      
C:\WINNT\System32\ntoskrnl.exe   Change   Changed      
C:\avenger\backup.zip:\avenger\cdxwasg.exe   Trojan horse Clicker.CWT   Infected, Embedded object
C:\avenger\backup.zip:\avenger\alfovo.exe   Trojan horse BackDoor.Generic3.OAG   Infected, Embedded object
C:\avenger\backup.zip:\avenger\ucvefcin.exe   Trojan horse Clicker.CWT   Infected, Embedded object
C:\avenger\backup.zip:\avenger\77115_netapi.exe   Trojan horse IRC/BackDoor.SdBot2.JCA   Infected, Embedded object
C:\avenger\backup.zip:\avenger\41031_netapi.exe   Trojan horse IRC/BackDoor.SdBot2.JCA   Infected, Embedded object
C:\avenger\backup.zip:\avenger\80545_netapi.exe   Trojan horse IRC/BackDoor.SdBot2.JCA   Infected, Embedded object
C:\avenger\backup.zip:\avenger\50422_netapi.exe   Trojan horse IRC/BackDoor.SdBot2.JCA   Infected, Embedded object
C:\avenger\backup.zip:\avenger\86011_netapi.exe   Trojan horse IRC/BackDoor.SdBot2.JCA   Infected, Embedded object
C:\avenger\backup.zip   Trojan horse Clicker.CWT   Infected, Archive   
C:\Program Files\secure32.html   Virus found SpySheriff   Infected      






Kommentar
Fra : holbaek

Dato : 21-09-06 22:00
ups jeg har forresten også.
Installeret superantispyware som opstart ligeså AVG. og så Goldtach som Firewall.

Stadigvæk tak for hjælpen

MVH
Holbaek

Kommentar
Fra : holbaek

Dato : 21-09-06 22:09
Ups igen
der var også lige en log til.

SUPERAntiSpyware Scan Log
Generated 09/21/2006 at 08:46 PM

Core Rules Database Version : 3089
Trace Rules Database Version: 1118

Memory threats detected : 0
Registry threats detected : 40
File threats detected : 2

Trojan.StoneDrv
   C:\WINNT\system32\inistone.ini

Trojan.Haxdoor-TWPK
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\twpkad.sys
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\twpkbd.sys
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD#NextInstance
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#Service
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#Legacy
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#ConfigFlags
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#Class
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#ClassGUID
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#DeviceDesc
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000#Capabilities
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000\Control
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000\Control#DeviceReference
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TWPKBD\0000\Control#ActiveService
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad#Type
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad#Start
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad#ErrorControl
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad#ImagePath
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad#DisplayName
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Security
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Security#Security
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Enum
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Enum#0
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Enum#Count
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Enum#NextInstance
   HKLM\SYSTEM\CurrentControlSet\Services\twpkad\Enum#INITSTARTFAILED
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd#Type
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd#Start
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd#ErrorControl
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd#ImagePath
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd#DisplayName
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Security
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Security#Security
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Enum
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Enum#0
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Enum#Count
   HKLM\SYSTEM\CurrentControlSet\Services\twpkbd\Enum#NextInstance

Trojan.IBM/Shell
   C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00004.dll



Kommentar
Fra : stl_s

Dato : 21-09-06 22:24
At AVG finder og sletter noget i Index.dat´en, og Avengers backups bekymrer mig ikke, men jeg vil dog godt lige have dig til at gøre dette:


Hent haxfix, og gem den på skrivebordet:
http://users.telenet.be/marcvn/tools/haxfix.exe

Dobbeltklik på haxfix.exe og installér haxfix (standard installations-stien er c:\programmer\haxfix eller c:\program files\haxfix). Når installationen er færdig, skal du sikre dig, at der er flueben i "Launch HaxFix". Klik på "Finish"

Et rødt dos-vindue vil åbne, med følgende muligheder:
1. Make logfile
2. Run auto fix
3. Run manual fix
E. Exit Haxfix

Vælg punkt 1, og tryk Enter. Haxfix vil nu scanne compuyteren. Når den er færdig, vil logfilen åbne. Kopiér indholdet af denne fil herind i tråden (c:\haxfix.txt)


Kommentar
Fra : holbaek

Dato : 21-09-06 22:58
jeg starter

Kommentar
Fra : holbaek

Dato : 21-09-06 23:12
så er den her
HAXFIX logfile - by Marckie
______________
version 4.18
to 21-09-2006 22:58:20,42

checking for haxdoor
--------------------
checking for a3d files....
a3d files found
seDS.a3d

checking for matching notify keys....
no matching notify keys found

checking for matching services....
no matching services found

checking for matching safeboot services....
no matching safeboot services found

checking for other haxdoorfiles....


Checking for goldun
-------------------
checking for notify keys....
no notify keys found

checking for services....
no services found

checking for other goldunfiles....


Finished


Kommentar
Fra : stl_s

Dato : 21-09-06 23:27
Der var en rest af Haxdoor, men infektionen var deaktiveret, og det væsentlige allerede fjernet. Lad os lige blive af med det sidste:

Kør fix.bat fra haxfix værktøjet (enten via en genvej på skrivebordet, eller ved at gå ind i den mappe, hvor du installerede værktøjet). Vælg option 2 ved at taste 2, og trykke Enter. Hvis der findes en infektion, vil du få besked på at lukke alle åbne vinduer. Gør dette (undtaget haxfix-vinduet selv). Tast Enter. Computeren vil nu genstarte. Efter genstarten vil en logfil åbne (c:\haxfix.txt). Indholdet af denne log, må du gerne lægge herind.



Kommentar
Fra : holbaek

Dato : 21-09-06 23:30
ok

Kommentar
Fra : stl_s

Dato : 21-09-06 23:43
Btw, fik du kørt Ewido ?

Kommentar
Fra : holbaek

Dato : 21-09-06 23:45
Den kørte 2
men fandt tilsyneladende ikke noget.
Du får alligevel lige en ny logfile
HAXFIX logfile - by Marckie
______________
version 4.18
to 21-09-2006 23:29:17,26

checking for haxdoor
--------------------
checking for a3d files....
a3d files found
seDS.a3d

checking for matching notify keys....
no matching notify keys found

checking for matching services....
no matching services found

checking for matching safeboot services....
no matching safeboot services found

checking for other haxdoorfiles....


Checking for goldun
-------------------
checking for notify keys....
no notify keys found

checking for services....
no services found

checking for other goldunfiles....


Kommentar
Fra : holbaek

Dato : 21-09-06 23:48
Ewido er ikke kørt.
Ville ikke gå mere på nettet før du havde set resultatet af de forrige scanninger.


Kommentar
Fra : stl_s

Dato : 22-09-06 00:04
Kørte du option 2 ?

Lad os lige dobbelttjekke:

Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik "iaccept". På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

Du kan roligt køre Ewido.

Kommentar
Fra : holbaek

Dato : 22-09-06 00:10
Jeg kørte mulighed 2 og den kørte også en test men lavede ingen log.
Testede den faktisk 2 gange - var selv lidt i tvivl.

Ang. blacklight er der åbenbart 2 versioner... hvilken er den bedste.

mvh
Holbaek


Kommentar
Fra : stl_s

Dato : 22-09-06 00:29
Okay med haxfix. Hvis den ikke gør noget, så er det ok.

Sorry, jeg havde ikke set der også var kommet en commandlineversion af Blacklight.

Tag den , som er den med brugerflade.

Kommentar
Fra : stl_s

Dato : 22-09-06 00:30
Tag den øverste, skulle der stå.

Kommentar
Fra : holbaek

Dato : 22-09-06 00:36
jeg har lige scannet med Ewido.
her er log.
__________________________________________________
ewido anti-spyware online scanner
   http://www.ewido.net
__________________________________________________


Name: Worm.Anker.n
Path: C:\WINNT\system32\drivers\etc\hosts
Risk: High

Name: Backdoor.VanBot.d
Path: C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\OD2LSB0J\netapi[13].exe
Risk: High

Name: Backdoor.VanBot.d
Path: C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\YH6D8X4T\netapi[3].exe
Risk: High

Name: Backdoor.VanBot.d
Path: C:\Documents and Settings\Default User\Lokale indstillinger\Temporary Internet Files\Content.IE5\IV8RSZ6V\netapi[1].exe
Risk: High

Name: Trojan.Sinowal.ax
Path: C:\avenger\backup.zip/avenger/vekgppwt.exe
Risk: High

Name: Hijacker.Costrat.k
Path: C:\avenger\backup.zip/avenger/cdxwasg.exe
Risk: High

Name: Backdoor.Haxdoor.kw
Path: C:\avenger\backup.zip/avenger/alfovo.exe
Risk: High

Name: Hijacker.Costrat.k
Path: C:\avenger\backup.zip/avenger/ucvefcin.exe
Risk: High

Name: Trojan.Sinowal.ax
Path: C:\avenger\backup.zip/avenger/vsvgjr.exe
Risk: High

Er blevet slettet

Kommentar
Fra : stl_s

Dato : 22-09-06 00:50
En stort set "ren" scanning fra Ewido. Den finder backups fra Avenger, og noget i Indexdat´en som ikke betyder noget, men lad os få slettet den indexdat alligevel, så det ikke "spøger" mere. Hent denne lille fil som bare skal udpakkes, og ikke installeres. Kør den, og gå i "Edit" -> "select all", og klik på det røde kryds for at slette http://www.snapfiles.com/get/iehistoryview.html

Der er åbenbart også et lille Hosts problem. Hent denne lille fil. Kør den, og klik "Restore original hosts" http://www.greyknight17.com/spy/Hoster.exe

Kommentar
Fra : holbaek

Dato : 22-09-06 00:57
09/22/06 00:41:11 [Info]: BlackLight Engine 1.0.46 initialized
09/22/06 00:41:11 [Info]: OS: 5.0 build 2195 (Service Pack 4)
09/22/06 00:41:15 [Note]: 7019 4
09/22/06 00:41:15 [Note]: 7005 0
09/22/06 00:42:22 [Note]: 7006 0
09/22/06 00:42:22 [Note]: 7011 896
09/22/06 00:42:22 [Note]: 7026 0
09/22/06 00:42:23 [Note]: 7026 0
09/22/06 00:42:29 [Note]: FSRAW library version 1.7.1019
09/22/06 00:43:27 [Note]: 7007 0

Håber at det er det rette

Kommentar
Fra : stl_s

Dato : 22-09-06 01:00
Jeps, helt iorden .

Hvis du lige gør ovenstående, vil jeg mene at alle scanninger vil kunne køre "rent" igennem.

Kommentar
Fra : holbaek

Dato : 22-09-06 01:23
Så er zippen åbnet og edit select all gjort. Jeg klikkede på det røde kryds men så ikke noget til
http://www.snapfiles.com/get/iehistoryview.html håber er ok.

Under restor original host
fandt jeg heller ikke nogen http://www.greyknight17.com/spy/Hoster.exe
men jeg restore original alligevel....håber at det også var ok




Kommentar
Fra : holbaek

Dato : 22-09-06 01:28
upssss...........
det er vist ved at være sent.....
Jeg havde kopieret teksten over i wordpad for at kunne læse den under processen....
Havde vist ikke taget højde for at der lige var kommet nogle hyberlink med....sorry

Kommentar
Fra : stl_s

Dato : 22-09-06 01:41
IEHistoryView skulle bare fjerne de linier den viste. Gjorde den det, er det fint. The Hoster ser du ikke gøre noget. Den sletter og gendanner din hostsfil, i tilfælde af den skulle have linier, lagt ind af skidtet.

Der burde ikke være flere farlige filer på maskinen.

Jeg er kortvarigt på i morgen ved halvfiretiden, og kan svare dig der, hvis der skulle være mere. Ellers kommer jeg først på igen på Søndag formiddag. Jeg tror dog ikke der skulle dukke mere op, men ellers spørg bare.

Du har kæmpet godt, og din søster må da være glad for at du laver så stort et arbejde for at rense hendes maskine

Kommentar
Fra : holbaek

Dato : 23-09-06 11:46
Så er jeg tlbage.
Starter nu med at sørge for at slette fra papirkurv og temp. internet.
Går på nettet og ser efter opdateringer, derefter scanner jeg med de forskellige anti programmer.
Hvis der er noget som ser mærkeligt ud i forhold til det du allerede har godkendt, så kommer jeg tilbage med en rapport.

Ang. min søster, så er det jo det sædvanlige med at " du siger bare til hvis din pc begynder at opføre sig mærkeligt, så skal jeg nok få den fikset".
Det er jo hurtigt at sige, men ikke altid hurtigt at opfylde.
Rart at det så har været muligt at kunne trække på en meget prof. bistand.
Foreløbigt mange tak.
Jeg vender tilbage med en status.
Hvh.
Holbaek.

Kommentar
Fra : holbaek

Dato : 23-09-06 14:42
Har nu haft aktiveret harddisken voldsomt.
Scannet med :
Dr.Web - Spybot S&D - Ewido - Ad-Aware - SuperAntiSpyware - AVG.

Første scanning gav lidt. Regner med at det har været lidt "rester" eller relationer til andre anti programmer.

2 scanning gav følgende .

Dr. Web =0

Spybot =0

Ad-Aware =0

SuperAntiSpyware =0

AVG = Finder 11 som relaterer til Avenger og en Spysheriff på C:\program files\secure 32.html
Det er vist også en den har haft fat i før.

Ewido =Finder 12 som alle relaterer til Avenger.

Håber at det betyder "clean"

Jeg har liiiiige 2 spørgsmål til.

Der er problemer med at lave en update fra Windows.
Den vil gerne have mig ind i Services.msc og aktivere :
Automatisk opdatering
og background intelligent transfer bits...........måske ikke stavet helt korrekt.
Umiddelbart vel ok eller skal jeg foretage mig noget inden, da det jo også er et sted hvor vi har været inde.

Spørgsmål 2 :
Jeg vil gerne lave en diskoprydning men er i tvivl om det er ok at slette de gamle HD filrester.
Ligger der nogle af antiprogrammernes filer der - som jeg skal bruge.

Og så til sidst - men ikke mindst.
Tillad mig at sige mange mange tak for det store arbejde du har ydet.
Det har været en helt sublim oplevelse at møde en sådan hjælp og vedholdenhed.
Igen mange tak herfra.

Med mange venlige hilsner
Holbaek









Kommentar
Fra : stl_s

Dato : 24-09-06 15:09
Hej igen.

Du kan roligt slette mappen Dr.Web på C drevet, og ligeledes Avengers backups.

Det tyder på at der rent nu, men en 100% garanti kan man jo aldrig give. Så længe kun kendte processer har bedt om adgang i firewallen, burde alt dog være ok.

Du kan roligt køre en diskoprydning.

En diskdefragmentering vil også være en god ide, og ligeledes en oprydning i registreringsdatabasen med f,eks dette program http://www.tweaknow.com/RegCleaner.html Fjern det som programmet finder "safe to delete".

Har du været inde i mappen C:\program files og se efter Secure 32.html ? Skjulte mapper og filer skal være aktiveret. Ellers forsvinder meddelelsen fra AVG måske efter oprydningen i registreringsdatabasen.

Mht til Windows Update, som malwaren sikkert har manipuleret med, så prøv dette:

Hent denne fil http://djlizard.net/software/Dial-a-fix.exe

1. Dobbeltklik det blå tandhjul.

2. Klik på knappen "Flush Softwaredistribution"

3. Sæt flueben i "Fix Windows update"

4. Klik på knappen GO i nederste venstre hjørne.

5. Lad den køre færdig.

6. Genstart maskinen.


Kommentar
Fra : holbaek

Dato : 24-09-06 16:07
Jeg har afleveret pcén.
Hun skulle bruge den til noget teksbehandling.
I løbet af ugen kobler jeg mig til den igen
Prøver tingene af og vender tilbage.
Håber at det er ok.

Mvh.
Holbaek


Kommentar
Fra : stl_s

Dato : 24-09-06 18:22
Helt ok.

Kommentar
Fra : holbaek

Dato : 01-10-06 15:50
Hej igen.

Så er jeg endelig ved min søsters pc.
Jeg prøvet det foreskrevet og vender tilbage.

MVH
Holbaek

Kommentar
Fra : stl_s

Dato : 01-10-06 16:46
Helt ok, jeg er her endnu. Du vender bare tilbage når du har prøvet det.

Kommentar
Fra : holbaek

Dato : 01-10-06 16:53
Så har jeg kørt RegCleaner og slette i diskoprydning - lavet en defrag og chekket update Windows.
Tilsyneladende accepterer den nu opdateringer - dejligt.

http://djlizard.net/software/Dial-a-fix.exe kan jeg ikke umiddelbart anvende.
Finder den lidt svær. Kan jeg springe den oven, nu hvor update tilsyneladende kører ?


Kommentar
Fra : holbaek

Dato : 01-10-06 17:07
Jeg har lige for en sikkerhedskyld chekker windows update - ikke vigtige opdateringer.
Og der er tilsyneladende stadig en eller anden fejl på update.
Den melder ud at det ikke er muligt at installere opdateringerne.
Så nu er jeg faktisk også i tvivl om den vitterlig har installeret de vigtige opdateringer.
Den finder ikke nogle når den søger efter dem, men jeg mangler faktisk den "loading linie" som plejer at være der, når den "ser" efter nye opdateringer.
Den springer lige til siden med " ingen nye vigtige opdateringer"

Øhhh..
Det kunne godt være at jeg kunne bruge lidt hjælp til at finde og køre http://djlizard.net/software/Dial-a-fix.exe

Kommentar
Fra : holbaek

Dato : 01-10-06 18:26
Fandt Dial-a-fix.exe efter lidt søgning på siden.
Har kørt :

Dobbeltklik det blå tandhjul.

2. Klik på knappen "Flush Softwaredistribution"

3. Sæt flueben i "Fix Windows update"

4. Klik på knappen GO i nederste venstre hjørne.

5. Lad den køre færdig.

6. Genstart maskinen.

Men den har svært ved at koble til windows update og når den kommer ind, så kommer der efterfølgende denne meddelse :

Filer, der kræves for at bruge Windows Update, er ikke registreret eller installeret på computeren længere. Sådan fortsætter du:
Registrer eller installer filerne igen for mig (Anbefales)

Når jeg har gjort det kommer følgende :

   
[Fejlnummer: 0x8007041D]    Webstedet har fundet et problem og kan ikke vise den side, som du forsøger at få vist. Nedenstående muligheder kan muligvis hjælpe dig med at løse problemet. Muligheder for selvhjælp: ·   Ofte stillede spørgsmål·   Find løsninger·   Windows Update-nyhedsgruppe Muligheder for assisteret support: ·   Microsoft online-assisteret support (gratis

Så den hænger lidt her.

Mvh.
Holbaek



Kommentar
Fra : stl_s

Dato : 01-10-06 18:53
Sorry, linket til dial-a-fix var blevet flyttet .

Prøv lige dette. Du har formentlig nyeste version a Dial-A-Fix, ellers hent en frisk:

Hent secedit.exe her http://djlizard.net/software/secedit-sfx.exe Pak den ud, og læg secedit.exe ned i C:/Windows/system32 mappen


Hent Dial-A-Fix ned til skrivebordet http://djlizard.net/Dial-a-fix-2006-09-19.exe Dobbeltklik Dial-A-Fix. Hvis den spørger om du vil fjerne nogle restriktioner, så klik Remove. Klik så på hammeren nederst i Dial-A-Fix´s vindue (tools). Marker repair permissions og klik GO, og vent til den er færdig. Exit Dial-A-Fix.


Prøv så at hente denne zipfil. Pak den ud, og følg den indlagte vejledning:

http://www.sitecenter.dk/secure/nss-folder/mappe/reset.zip

Kør WindowsUpdate fixet igen, og genstart maskinen.





Kommentar
Fra : holbaek

Dato : 01-10-06 19:36
ok jeg prøver lige

Kommentar
Fra : holbaek

Dato : 01-10-06 20:15
desværre ikke nogen ændring.
jeg kan ikke få den til at acceptere WindowsUpdate fixet.

Kommentar
Fra : holbaek

Dato : 01-10-06 20:33
Jeg ved ikke om det kan hjælpe.
Når jeg åbner GoldTach - firewall.
Så ser der ud til at der under proces port flow er 2 meget aktive punkter.

Den ene hedder (8)system og under den er TCP som hopper frem og tilbage med henholdsvis 1-2 eller 3 "forbindelser" hvor man kan se der sendes og modtages.

Den anden(1176) C\programmer\internet explorer laver det samme. Men her er der nogle gange op til 4 "forbindelser" hvor man kan se der sendes og modtages.

Ved ikke om det bare er "normal" aktivitet på en firewall.

pcén er extrem langsom. når den starter op ved" forbereder netværksforbindelser".

Håber ikke at du bliver alt for frustreret over dette.
Husk endelig på at jeg er meget taknemmelig for den hjælp du allerede har ydet.

Mvh.
Holbaek

Kommentar
Fra : holbaek

Dato : 01-10-06 20:56
Jeg lukker ned for i dag.
vender tilbage senere på ugen.

mvh.
Holbaek

Kommentar
Fra : stl_s

Dato : 01-10-06 21:12
Der må ligge noget mere malware og blokere. Vi må desværre prøve med nogle flere scanninger:

Hent denne fil, og pak den ud til en mappe på skrivebordet:
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

Gå så ind i mappen SDFix, som du hentede tidligere. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

------------------------------------------------------------------------------

Kør så denne scanner bagefter. Brug extended databases. Scanneren kan ikke slette noget, så kopier loggen her ind http://antivirus.about.com/gi/dynamic/offsite.htm?zi=1/XJ&sdn=antivirus&zu=http%3A%2F%2Fwww.kaspersky.com%2Fdownloads%2Fkws%2Fkavwebscan.html

Kommentar
Fra : holbaek

Dato : 05-10-06 09:16
Jeg er lidt i tidsnød i øjeblikket.
Er meget glad for at du stadig er med og vil en af de nærmeste dage afhente pcén igen. Så jeg hjemmefra kan prøve tingene af.
Vender tilbage når jeg har prøvet det foreslående.

MVH.
Holbaek

Kommentar
Fra : holbaek

Dato : 07-10-06 09:36
Så har jeg lidt arbejde igen.
Håber at du har tiden

2 del følger
mvh.

Holbaek


SDFix: Version 1.28
-------------------

Scan run on:
l› 07-10-2006

Time:
9:17


Microsoft Windows 2000 [version 5.00.2195]

Running from: C:\Documents and Settings\Andersen\Skrivebord\Ny mappe\SDFix

Stage One...

Checking Services...

Name:
-----

Microsoft Logon Service
SVKP
wgareg

Path:
----

"C:\WINNT\system32\dllcache\mslogon.exe"
\??\C:\WINNT\system32\SVKP.sys
C:\WINNT\system32\wgareg.exe


Microsoft Logon Service ... deleted
SVKP ... deleted
wgareg ... deleted


Repairing Registry...

Restoring Default Hosts File...

Stage One Complete

Rebooting!

Stage Two...

Registry Cleaning Finished...

Checking For Malware Files:
--------------------------


Backing Up and Removing any Files Found...

Final Check:

Remaining Services:
------------------

Remaining Files:
--------------



*Any removed Files are saved in the SDFix\backups Folder*

*FINISHED*


Kommentar
Fra : holbaek

Dato : 07-10-06 09:52
Jeg har lidt problemer med at få lov til at hente 2Fkavwebscan.
Får at vide at mine sikkerhedsindstillinger blokerer for afvikling.
Sikkerhedsindstillingerne står til "mellem".
AktivX vises ikke korrekt på siden.
Er i tvivl om hvilken sikkerhedsindstilling som skal vælges, for at jeg kan hente scanneren.


Kommentar
Fra : stl_s

Dato : 07-10-06 13:35
Okay, hent lige denne fil. Udpak den og kør regfilen. Du får Google som startside, så den må du lige skifte tilbage igen http://www.sitecenter.dk/secure/nss-folder/mappe/IE_reset1.zip

Tjek så lige at alle zonerne i fanebladet sikkerhed er sat til standard. I fanebladet avanceret klikker du gendan standarder.

Kommentar
Fra : stl_s

Dato : 07-10-06 13:49
En af filerne fra SDFix loggen kunne antyde tilstedeværelsen af Rapidblaster. Prøv lige at hente og køre Rapidblasterkiller her http://www.snapfiles.com/get/rapidblasterkiller.html

Kommentar
Fra : holbaek

Dato : 08-10-06 11:54
Jeg prøver ovenstående og vender tilbage

Kommentar
Fra : holbaek

Dato : 08-10-06 12:24
Kørt rapidblaster killer :
no rapidblaster processes detected.

Kørt reset :
Sikkerhedsindstillinger er sat til standard

Derefter prøver at komme ind på webscanneren :
Følgende boks kommer ved åbning at siden til 2Fkavwebscan.

De aktuele sikkerhedsindstillinger forhindrer at aktivx objekter kan køres på denne side.
Dette kan medføre at siden ikke vises korrekt.

Jeg prøver at genstarte og lave endnu en windowsupdate og ser hvad der sker.


Kommentar
Fra : holbaek

Dato : 08-10-06 12:37
Failed to load Kaspersky Online Scanner ActiveX control!

You must have administrative rights on this computer;
you also must have the IE security settings to the Medium level.

Kommentar
Fra : miritdk

Dato : 08-10-06 14:09
kaspersky ønsker du sætter IE til medium - og at der kan bruges administrations rettigheder



Kommentar
Fra : holbaek

Dato : 08-10-06 14:28
ja....
men hvordan

Kommentar
Fra : miritdk

Dato : 08-10-06 14:39
IE sikkerheds indstillingerne : højreklik på IE - egenskaber - fanebladet sikkerhed - klik på brugerdefineret og vælg her mellem.

ang administrator konti - er der så KUN en bruger når du kommer til login ????

Kommentar
Fra : holbaek

Dato : 08-10-06 14:43
Instillingerne er sat til mellem...

Bruger og adminnistrater burde være den samme, men jeg chekker

Kommentar
Fra : holbaek

Dato : 08-10-06 14:44
Bruger står også som administrator

Kommentar
Fra : miritdk

Dato : 08-10-06 14:48
HMMMM logger du ind med adm ???

Kommentar
Fra : holbaek

Dato : 08-10-06 14:51
jeg logger bare ind som bruger med adm. rettigheder

Kommentar
Fra : miritdk

Dato : 08-10-06 14:51
når du forsøger at køre webscanneren så hold CTTRL nede når du klikker dig ind og når du vil køre den (der er sikkert en gul linie der fortæller dig noget - den kan du override på den måde - eller du skal lige installere det ActiveX control ved at klikke på linien og godkende det)


Kommentar
Fra : holbaek

Dato : 08-10-06 15:03
ok

Kommentar
Fra : holbaek

Dato : 08-10-06 15:19
sådan ja.
CTTRL lykkedes.
Jeg scanner løs og smider en log herind.
Mange tak .
Skal lige hente min kone fra job, så jeg er først tilbage om en time.

Mvh.
Holbaek

Kommentar
Fra : miritdk

Dato : 08-10-06 15:21
det var godt

Kommentar
Fra : stl_s

Dato : 08-10-06 18:20
Mht Windows Update, så tjek lige om automatiske opdateringer er slået til. Gå i start/kør skriv services.msc klik ok. Tjek at automatiske opdateringer er startet og sat til automatisk. Hvis det ikke hjælper, så prøv at lukke firewallen når du prøver at opdatere.

Kommentar
Fra : holbaek

Dato : 08-10-06 18:30
KASPERSKY ONLINE SCANNER REPORT
Sunday, October 08, 2006 6:17:41 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 8/10/2006
Kaspersky Anti-Virus database records: 229909


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\

Scan Statistics
Total number of scanned objects 19851
Number of viruses found 7
Number of infected objects 15 / 0
Number of suspicious objects 0
Duration of the scan process 00:18:27

Infected Object Name Virus Name Last Action
C:\WINNT\system32\config\software.LOG Object is locked skipped

C:\WINNT\system32\config\default.LOG Object is locked skipped

C:\WINNT\system32\config\SECURITY Object is locked skipped

C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped

C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped

C:\WINNT\system32\config\SAM Object is locked skipped

C:\WINNT\system32\config\SAM.LOG Object is locked skipped

C:\WINNT\system32\config\SYSTEM Object is locked skipped

C:\WINNT\system32\config\SOFTWARE Object is locked skipped

C:\WINNT\system32\config\DEFAULT Object is locked skipped

C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped

C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped

C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped

C:\WINNT\Debug\PASSWD.LOG Object is locked skipped

C:\WINNT\Debug\oakley.log Object is locked skipped

C:\WINNT\Debug\ipsecpa.log Object is locked skipped

C:\WINNT\SchedLgU.Txt Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Documents and Settings\Andersen\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Temp\~DF55FC.tmp Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Oversigt\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Oversigt\History.IE5\MSHist012006100820061009\index.dat Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Andersen\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Andersen\Skrivebord\Jens - rør ikke\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

C:\Documents and Settings\Andersen\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Andersen\Application Data\AVG7\Log\emc.log Object is locked skipped

C:\Documents and Settings\Andersen\ntuser.dat.LOG Object is locked skipped

C:\avenger\backup.zip/avenger/vekgppwt.exe Infected: Trojan-PSW.Win32.Sinowal.ay skipped

C:\avenger\backup.zip/avenger/cdxwasg.exe Infected: Trojan-Clicker.Win32.Costrat.k skipped

C:\avenger\backup.zip/avenger/alfovo.exe Infected: Backdoor.Win32.Haxdoor.kw skipped

C:\avenger\backup.zip/avenger/ucvefcin.exe Infected: Trojan-Clicker.Win32.Costrat.k skipped

C:\avenger\backup.zip/avenger/dmxy.exe Infected: Trojan-Spy.Win32.Goldun.ms skipped

C:\avenger\backup.zip/avenger/msvcrl.dll Infected: Trojan-Spy.Win32.Goldun.ms skipped

C:\avenger\backup.zip/avenger/vsvgjr.exe Infected: Trojan-PSW.Win32.Sinowal.ay skipped

C:\avenger\backup.zip/avenger/steal.exe Infected: Trojan-Downloader.Win32.Harnig.co skipped

C:\avenger\backup.zip/avenger/77115_netapi.exe Infected: Backdoor.Win32.Rbot.bji skipped

C:\avenger\backup.zip/avenger/41031_netapi.exe Infected: Backdoor.Win32.Rbot.bji skipped

C:\avenger\backup.zip/avenger/80545_netapi.exe Infected: Backdoor.Win32.Rbot.bji skipped

C:\avenger\backup.zip/avenger/50422_netapi.exe Infected: Backdoor.Win32.Rbot.bji skipped

C:\avenger\backup.zip/avenger/86011_netapi.exe Infected: Backdoor.Win32.Rbot.bji skipped

C:\avenger\backup.zip ZIP: infected - 13 skipped

Scan process completed.


Kommentar
Fra : holbaek

Dato : 08-10-06 18:44
Hej igen stl_s

Har fuld forståelse for at man ikke tilbringer alt sin tid foran pcén.
Fik en henvendelse og tillod mig derfor at prøve hjælp fra anden side.
Tak for denne til miritdk

Jeg har chekket indstillingerden stod på automatisk - men stoppet og den melder ud i system at :
Tjenesten automatiske opdateringer kunne ikke startes.
Fejl 2147746310 : der blev opdaget en uventet intern fejl.

Mvh.
Holbaek



Kommentar
Fra : stl_s

Dato : 08-10-06 19:07
Jamen jeg forstår da godt at du fulgte Mirit.dk´s råd . Det er heldigvis et åbent forum, hvor alle kan deltage med deres råd, og det er da en stor styrke.

Prøv lige at tjekke om servicen COM+Event er startet. Den skal også stå på automatisk.

Kommentar
Fra : holbaek

Dato : 08-10-06 19:19
ok vender tilbage

Kommentar
Fra : holbaek

Dato : 08-10-06 23:02
COM+Event er ikke startet. Står nu på automatisk.
Ved ændring til "start" kommer følgende frem :
Fejl 1083
det eksekventbare program denne tjeneste er konfigureret til at køre i, implementerer ikke tjenesten.

Hmmmm.
Jeg er stadig ved godt mod - bare til orientering.
mvh. Holbaek

Kommentar
Fra : stl_s

Dato : 08-10-06 23:41
Godt du stadigvæk er ved godt mod . Løsningen er måske her:


Prøv dette: http://support.microsoft.com/kb/315296/ og prøv så at genstarte, og starte disse services:

Automatiske opdateringer, COM+ Event System, Background Intelligent Transfer
Service, System Event Notification.

En oversættelse, efter bedste evne, af Microsoft artiklen:


Filen Clbcatq.dll skal omdøbes til ~Clbcatq.dll (Dvs den skal have en "tilde" ~ foran.

Genstart maskinen.


Så går du registreringsdatabasen (Start/Kør skriv regedit32 klik ok), klikker dig frem til, og sletter denne (markerede) nøgle:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3


Så går du Start/Kør skrivcmd klik ok. I det sorte CMD vindue skriver du cd %windir% og taster <enter>

Så skriver du rmdir /s Registration og taster <enter>


Så går du i Tilføj/Fjern programmer, Tilføj/Fjern Windows Componenter, og geninstallerer COM+.

Genstart maskinen.




Kommentar
Fra : holbaek

Dato : 09-10-06 06:17
Jeg er i tvivl om jeg skal hente noget på siden http://support.microsoft.com/kb/315296/.
Kan jeg få en 1-2-3 rækkefølge.
Vil gerne gøre det rigtigt første gang og er lidt usikker på fremgangsmåden.
På forhåd tak
mvh. Holbaek

Kommentar
Fra : miritdk

Dato : 09-10-06 08:28
du skal ikke hente noget på siden - du skal følge step 1 - 10 . læs det grundigt

Kommentar
Fra : holbaek

Dato : 09-10-06 16:07

ja, jeg griner.........læs der grundigt. Ja,tak. Men ok... jeg prøver

Kommentar
Fra : holbaek

Dato : 09-10-06 16:49
filen Clbcatq.dll fandt jeg i c/winnt/servicepackfiles/i386
Omdøbte den til~Clbcatq.dll
Genstartede maskinen

Gik ind i start/kør og skrev : regedit32

Fik en boks med følgende :
Filen regedit32 blev ikke fundet. Kontroller at stien er korrekt og at alle nødvendige biblioteker er tilgængelige.

Søgte så efter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3 både under filer og som tekststreng. - fandt den ikke.

Mvh.
Holbaek

Kommentar
Fra : stl_s

Dato : 09-10-06 21:46
Ups, der havde sneget sig et "i" ind, så det var derfor den ikke virkede. Kommandoen skal hedde Regedt32

Her finder du en vejledning til registreringsdatabasen http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441

hvor du skal finde og slette denne nøgle (markeret med fed skrift)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3



Kommentar
Fra : holbaek

Dato : 09-10-06 21:56
jeg går igang

Kommentar
Fra : holbaek

Dato : 09-10-06 22:06
har fundet com3
Hurtigt spørgsmål :Skal jeg slette hele mappen com3 ?
Undermappen setup ?
eller kun indholdet i setup ?

er lige nu lidt usikker

mvh.
Holbaek

Kommentar
Fra : stl_s

Dato : 09-10-06 22:22
Du skal slette hele com3 nøglen i regedit.

Kommentar
Fra : holbaek

Dato : 09-10-06 22:40
ok

Kommentar
Fra : holbaek

Dato : 09-10-06 22:55
Jeg kom til at skulle geninstallere Com+
Men kan ikke finde den under Windowskomponenter.
Ligger den i en undermappe


Kommentar
Fra : stl_s

Dato : 10-10-06 01:49
Du behøver ikke at vælge noget. Bare klik "næste", så bliver det installeret automatisk.

Kommentar
Fra : holbaek

Dato : 10-10-06 17:39
ups. ok.
Jeg prøver det af når jeg igen er hjemme.
mvh.
Holbaek

Kommentar
Fra : holbaek

Dato : 11-10-06 09:51
Det er godt nok utroligt det her.
Mundheldet : en ulykke kommer sjældent alene.........
Det kan jeg godt bekræfte nu.

Jeg har været i Tilføj/Fjern programmer, Tilføj/Fjern Windows Componenter, og trykket næste.
Så beder den om win.2000 skiven.
Så sætter jeg den i.....
Så kan den ikke køre den... Tikker og skramler i drevet.
Sætter skiven i et andet drev....samme resultat.
Tager skiven ud ....renser og renser og renser...samme resultat.
Prøver skiven i anden pc.....samme resultat.

Status : min win.2ooo cd. er beskadiget...den er original.

Hmmmmm.....
Har talt til 10....... ( 10 gange)
Og har nu taget handling på at få en ny win.2000 cd.

Jeg vender tilbage når jeg har fået byttet cdén.
Og jeg er stadig - nu efter at der er gået et par minutter - ved godt mod.

Mvh. Holbaek

Kommentar
Fra : stl_s

Dato : 11-10-06 10:11
Jamen jeg afventer bare at du får byttet CD´en. Virker opdateringerne så stadigvæk ikke, skal vi ud og skaffe en frisk nøgle til registreringsdatabasen.

Kommentar
Fra : holbaek

Dato : 15-10-06 16:19
Jeg har nu fået fat i en ny win.2000 cd og prøver at reinstallere.
Vender tilbage med resultatet.
mhv.
Holbaek

Kommentar
Fra : holbaek

Dato : 15-10-06 19:43
Hej igen.

Jeg var desværre ikke i stand til at få pcén til at hente updates selv om jeg brugte win.2ooo cdén - tilføj Windows komponenter.
Sad lidt og funderede og blev så enig med mig selv, om at tiden var inde til en reinstallering af hele win2ooo.
Så det har jeg gjort nu, og det har tilsyneladende løst de sidste problemer.
Updates kører normalt nu - dejligt.

Så har jeg kun et sidste spørgsmål tilbage. - for denne gang
Har det at reinstallere win.2ooo nogen indflydelse på alt det som vi har været igennem og installeret - firewall - anti... osv.. Jeg tænker på referencer til det "gamle" win,2ooo.
Maskinen kører rigtigt godt og kobler fint op.

Dette blev en lang"tråd" og jeg er dybt taknemmelig for din vedvarende interesse for opgaven.
Du har været en meget stor hjælp og når jeg kikker tilbage på starten at dialogen, så kan jeg se,
at fra at være et stykke isenkram, som dårligt nok vidste om den var en radio eller en brødrister.
Så er pcén nu kommet tilbage i sin oprindelige funktion - dejligt.
Mange tak for det og samtidig også en tak til andre der har budt ind - især miritdk. Dejligt med den interesse.
Tak for denne gang
Holbaek

Kommentar
Fra : miritdk

Dato : 15-10-06 19:51
godt du kører igen - tror stl_s er bukket under for presset



Accepteret svar
Fra : stl_s
Modtaget 300 point
Dato : 15-10-06 20:11
Vi var ellers tæt på at være i mål, tror jeg. En frisk regnøgle havde sikkert gjort tricket. Nåh, men et helt frisk Windows er jo ikke at foragte . De programmer vi har brugt, kan ikke påvirke dit friske system. De forsvinder helt ved formatteringen.

Jeg gætter på, at du så nu er i gang med at sikre maskinen, så du undgår nye infektioner.

Jeg kan anbefale dette antivirus/antispyware program http://www.activevirusshield.com/antivirus/freeav/index.adp?

Den gode Goldtach firewall kender du jo.

Godkendelse af svar
Fra : holbaek

Dato : 16-10-06 19:26
Tak for svaret stl_s.

Det har været en stor og meget lærerig proces.

Mvh.
Holbaek

Kommentar
Fra : stl_s

Dato : 17-10-06 03:43
Ja, det var en ordentligt omgang, men godt du fik maskinen til at køre ordentligt igen .

Kommentar
Fra : fluffyclaus

Dato : 20-10-06 00:42
Føj for en omgang!!

Har fulgt med fra starten og synes der skal uddeles stor ros til stl_s og hoelbaek, for at holde ved så længe

Men synes næsten også der burde gives et lille klap på ryggen til shadowflip for kommentaren kl. 00:10, den 21/09/06:

Format C lyder som en god ide! ;)

Hvor spændende og interessant et spyware/virus angreb kan være at få has på, så er det en gang imellem sådan at det er mere spændene for eksperten end det er for brugeren... og derfor sker det at en formattering kan være nemmere for "slut brugeren". Dette er efter min mening et af disse tilfælde.

Men jeg brokker mig ikke... Jeg har med stor interesse fulgt denne tråd

Vh Claus

Kommentar
Fra : stl_s

Dato : 20-10-06 03:37
Fluffyclaus -> Enig i at rådet godt kunne have været format C, men min vurdering ud fra den første HJT log var, at det var muligt at rense. At der så dukker en masse infektioner op "under overfladen" er altid svært at forudse. Alting er altid meget klarere i bagklogskabens klare lys. Min vurdering var så, at når vi var nået så langt, og Holbaek havde brugt så meget tid på det, så ville det for ærgeligt at give op midt i det hele. Så din antydning om at jeg gør det her for "sportens skyld", og ikke tænker på hvad der måtte være bedst for brugeren, er helt ubegrundet. Dem der kender mig ved, at jeg faktisk er en af dem der er hurtigst til at sige format C. Jeg tænker ALTID på hvad der er bedst for brugeren, også selv om rådet hedder format C.

Når det er sagt, så har jeg gjort mig mange overvejelser om det overhovedet tjener noget formål at rense store malware angreb. Faktisk tror jeg ikke man gør brugeren en tjeneste med det mere. Måske tværtimod. Selv om man skulle få fjernet alt skidtet, kan man risikere at efterlade brugeren med en maskine som har fået foretaget ændringer i sikkerhedsindstillingerne, så det grænser til det uansvarlige at køre videre med den. Der var en gang, hvor man med rimelig god sikkerhed kunne fortælle brugeren at maskinen var ren for infektioner, men det kan man ikke i samme omfang i dag. HJT viser ofte kun toppen af isbjerget, og det malware vi er oppe imod idag, er meget vanskeligt at finde og fjerne. Skidtet er tydeligvis ikke lavet af "scriptkiddies" mere, men af særdeles kompetente softwareudviklere, som godt ved hvordan de skal skjule skidtet, og gøre det vanskeligt at fjerne.

Iøvrigt, så fremgår det af tråden, at der blev fundet en hel del infektioner som ikke var kendt af scannerne. Og sådan er det idag. Skidtet bliver VÆLTET ud i tempo så ingen kan følge med, og man skal nærmest endevende enhver afkrog på maskinen, for bare at være nogenlunde sikker på at få det hele væk. Er det tiden og umagen værd mere ? Helt ærligt, jeg er begyndt at tvivle på det.

Kommentar
Fra : fluffyclaus

Dato : 21-10-06 16:34
stl_s ->

Som jeg skrev ovenover har jeg fulgt med i tråden lige fra starten af, og er derfor udemærket klar over, at det først et stykke inde i forløbet viste sig at være en kæmpe omgang, hvorfor du selvfølgelig ikke anbefalede en formattering
Jeg konstaterede bare (i bagklogskabens ulideligt klare lys) at det da vist havde været nemmere, og jeg syntes i fortjente ros for at holde ved så længe

Tror du misforstod (eller også udtrykte jeg mig ikke ordentligt). Så jeg vil gerne lige pointere at det under ingen omstændigheder var ment negativt.

Jeg synes så absolut at det er rart at der er folk som dig, der gerne hjælper når ens egen viden ikke slår til længere

Vh Claus

P.s. Tak for link til bootcamp, jeg har tilmeldt mig.



Kommentar
Fra : fluffyclaus

Dato : 21-10-06 16:38
Nu skete det igen... jeg roder rundt i smiley forkortelserne.. min hahaha smiley, skulle være en glad smiley

Kommentar
Fra : stl_s

Dato : 21-10-06 20:59
Helt ok .

Spændende med bootcamp. Jeg er da spændt på hvornår du selv begynder at løse logs. Du kan til enhver tid kontakte mig på den interne, hvis der er noget du vil fortælle om, eller spørge om .

Kommentar
Fra : holbaek

Dato : 22-10-06 08:33
Hej igen.
Jeg kan ikke lade være med at komme med en lille kommentar til ovenstående.

Lad mig starte med at skrive, at jeg sagtens kan sætte mig ind i dine betragtninger fluffyclaus.
Og du skal også have tak for dit indlæg.
Du skal vide at jeg har meget stor respekt for alle som hjælper herinde. Der er rigtigt rart at kunne hente denne viden og få løst sine problemer
Du har sikkert ret overordnet - men min historie - med søster pcén. Var at det jo også var vigtigt for mig at bevare alle hendes personlige ting på maskinen.

At formatere, har jeg jo prøvet før. Men at rense og så samtidig bevare måneders arbejde og personlige ting på harddisken. Er ikke en ting jeg før har kastet mig ud i alene.

Derfor er det resultat jeg nu har, meget at foretrække frem for en fuldstændig formatering.
Det har taget tid - javel. Men det har så til gengæld jo sikret at hun stadig har bevaret alle hendes personlige data.

Jeg har måske ikke fået skrevet det godt nok, men det jeg gjorde til sidst - efter stl_s store indsats. Var jo bare at genindstallere Win.2000. - ikke formatering af harddisk.

Dermed fik jeg erstattet/rep. alle mine Win.2000 filer osv.
MEN beholdte jo netop alle de personlige ting.
En - syntes jeg - rigtig god løsning. Som ikke havde været mulig uden det meget store forangående arbejde som stl_s havde gjort.
Så istedet for en "ny" harddisk ,har hun nu sin gamle maskine med alle hendes ting tilbage.

Og det er IKKE for at spille bedrevidende - tror bare ikke at jeg fik skrevet det godt nok hvad jeg havde foretaget mig.

Til stl_s, vil jeg bare igen skrive. Mange tak for det store arbejde du lagde i det.
Det var en stor hjælp og alt besværet værd. Men søster er lykkelig og jeg vil til en hver tid gøre det igen. At kunne bevare sine data er altid at foretrække - selv om det var en sej omgang

Mvh.
Holbaek



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177547
Tips : 31968
Nyheder : 719565
Indlæg : 6408797
Brugere : 218887
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.