|
| Kender i denne - Trojan.Prova Fra : emesen | Vist : 282 gange 200 point Dato : 10-11-03 22:52 |
|
Jeg har lige været her inde og teste.
http://www.symantec.com/sabu/nis/nis_pe/
Der blev fundet følgende:
C:\WINNT\system32\pav.sig is infected with Trojan.Prova
C:\WINNT\system32\ActiveScan\pav.sig is infected with Trojan.Prova
Det ligner vist en trojansk hest af en eller anden slags.
Hvordan smider jeg den ud.
Jeg kører Win 2000 / IE5 / OE5
Emesen.
| |
| Kommentar Fra : arlet |
Dato : 10-11-03 22:54 |
|
Hent verdens bedste trojanscanner. Det hedder TrojanHunter og du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.
| |
| Kommentar Fra : arlet |
Dato : 10-11-03 22:55 |
|
Hov, den kom dobbelt.
Så kan du ikke være i tvivl om hvad du skal *S*
| |
| Kommentar Fra : arlet |
Dato : 10-11-03 22:59 |
| | |
| Kommentar Fra : emesen |
Dato : 10-11-03 23:11 |
|
ok - er i gang med hunter
Emesen.
| |
| Kommentar Fra : emesen |
Dato : 10-11-03 23:29 |
|
Har scannet winnt som den jo lå i:
Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
No trojan files found
Jeg må lige sige at jeg kørte på nettet på den anden skærm mens symantec testede, og det måtte jeg vist ikke.
men nu prøver jeg den anden.
emesen.
| |
| Kommentar Fra : arlet |
Dato : 10-11-03 23:44 |
|
ja, hvad siger du til, hvis jeg nupper den i morgen tidlig...
Orker næsten ikke mere i dag..
| |
| Kommentar Fra : emesen |
Dato : 10-11-03 23:48 |
|
Ok lader den "hænge"
Emesen.
| |
| Kommentar Fra : emesen |
Dato : 10-11-03 23:57 |
|
Ok jeg venter stadig til i morgen - det haster ikke.
Emesen.
| |
| Kommentar Fra : als |
Dato : 11-11-03 00:05 |
|
Dette er eksempelvis en uvæsentlig ting:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
men jeg går ikke i bagateller når alt andet er ok. Den ville jeg have taget med hvis du havde snavs på pc'en men det har du ikke. Der er et par enkelte flere, men lad dem da for gud skyld hvile i fred. Det er hverken spyware, virus, trojan eller andet.
| |
| Kommentar Fra : arlet |
Dato : 11-11-03 08:07 |
|
Vi er alle forskellige, jeg har det sådan at jeg fjerner alt hvad der ikke skal være i loggen, når jeg får den under behandling.. Det er jeg blevet oplært til*S* Der er flere steder internationalt at de kun fjerner problemet og lader andre ting være. Jeg har det bedst, når jeg ved at loggen er tip top ren, når jeg afleverer den tilbage..
Der var et par småting:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
---------------------------------------------------------------------
Kender du de her, ellers skal de fixes:
O4 - Global Startup: EZ Station.lnk = C:\WINNT\twain_32\IBMScanner\SxCenter.exe
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programmer\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Kan lige tilføje, at de 3 ligner noget man skal bruge for at programmerne kan virke, men det er ikke tilfældet, så fixes dem trygt.
| |
| Kommentar Fra : emesen |
Dato : 11-11-03 08:24 |
|
Jeg er ikke ved min comp nu, så det venter til sidst på dagen.
EZ station er nok min scanner som popper op ved start selv om den er koblet fra (lidt iriterende)
Jeg har også noget CF kortlæser og usb HD og usb kortlæser/harddisk
Jeg vender tilbage.
Emesen.
| |
| Kommentar Fra : arlet |
Dato : 11-11-03 08:30 |
|
Det vi ikke kan finde nogen steder er enten noget hjemelavet noget, eller noget man alligevel ikke viil have kørerne, men det kan vi også klare.
Du kan hente msconfig til 2000 her http://www.svrops.com/svrops/dwnldoth.htm
Den henter du og åbner og går ind i start fanebladet..
der fjerner du markeringen på dem du ikke vil have starter op ved start og som sløver din opstart.
Du kan til hver en tid gå ind og ændre den igen.
Det kan du eft gøre inden du poster en ny log herind..
| |
| Kommentar Fra : als |
Dato : 11-11-03 13:11 |
|
De der er fixet og de i havde spørgsmål omkring er som nedenstående. Hvor vidt de er vigtige kan i selv afgøre. Snavs er det ikke.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
Icon i proceslinien for hurtig adgang til Apple's "Quick Time"
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
Tjekker om der er nye drivere og andre opdateringer til dine Logitech produkter.
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
Hvis du bruger onlinescannerne fra Symantec. Den vil komme igen.
O4 - Global Startup: EZ Station.lnk = C:\WINNT\twain_32\IBMScanner\SxCenter.exe
Ganske rigtig til din scanner. Kan du deaktivere i msconfig hvis du ikke vil have at den skal starte op med windows.
O4 - HKLM\..\Run: [ShowIcon_Vosonic_USB Media Device Driver v1.19r003] "C:\Programmer\USB Media\shwicon.exe" -t"Vosonic\USB Media Device Driver v1.19r003"
Kortlæser for memorycards fra digitalkamera
Med venlig hilsen
og ha' en god dag
als
| |
| Kommentar Fra : emesen |
Dato : 11-11-03 16:59 |
|
Jeg har lavet image fil.
Fjernet de 5 stk i hijackthis.
Hakket nogle fra i msconfig.
genstart.
Her er så det nye resultat. (det er som om den startert hurtigere)
Kode Logfile of HijackThis v1.97.5
Scan saved at 16:42:35, on 11-11-2003
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Eyvind Christensen\Skrivebord\trojanhunter\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\Eyvind Christensen\Skrivebord\trojanhunter\msconfig\msconfig.exe /auto
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SunClock5.lnk = C:\Documents and Settings\Eyvind Christensen\Application Data\Map Maker\MMManager.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37759.4822337963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab |
Selv om der måske ikke var noget særligt, var det da skægt at prøve.
Normalt går jeg med "livrem og seler", men min comp har intet virus/antispy eller anden sikkerhed..........endnu. (dog åbner jeg ikke mails som jeg ikke kender, og ingen sender filer til mig uden at jeg ved det.)
Men jeg laver ind i mellem backup image på en anden HD.
Emesen.
| |
| Kommentar Fra : arlet |
Dato : 11-11-03 17:55 |
|
Du er ren nu.
Jeg syntes at du skulle hente opdateringer på windows update.
Hvis det kunne friste med lidt gratis programmer, får du lige pakken.
For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Ad-aware
Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm
Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..
Alt sammen skal løbende opdateres, ligesom dit windows og IE..
Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
| |
| Kommentar Fra : searcher |
Dato : 05-03-04 09:55 |
|
Jeg havde trojan hourse:second thought.B forskellige steder- disse er nu fjernet med en virusscanner online- tilbage har jeg det problem, at jeg får en medddelelsebox hvor der står, at nævnte trojansk hest er i system volume information restore. Skanner jeg dette med en scanner til trojansk hest, står der:adgang nægtet- alle andre scannere siger, at min pc er ren.
| |
| Kommentar Fra : arlet |
Dato : 05-03-04 10:10 |
| | |
| Kommentar Fra : searcher |
Dato : 05-03-04 11:18 |
|
jeg fjernede den manuelt og fandt den flere steder- derefter lavede jeg en systemgendannelse - alle online scannere viser jeg ikke har den, men advarslen fra AVG kommer - AVG siger også, den er ren- tror du ikke det bare er en advarsel, der ikke betyder noget- maskinen opfører sig normalt.
| |
| Kommentar Fra : searcher |
Dato : 05-03-04 11:19 |
|
Hvis jeg skal- hvordan slår jeg systemgendannelse fra?
| |
| Kommentar Fra : arlet |
Dato : 05-03-04 11:20 |
|
Hvis onlinescannerne siger du er ren, så er du ren. AVG er desværre kendt for sine "false potitiv" hvor den kommer med en advarsel om en mulig virus/trojan, men som ikke er der alligevel.
Så tag du den bare med ro. Hvis AVG forsætter med at komme med den fejlmeddelse, så reindstaller programmet, så kommer advarslen ikke mere.
| |
| Kommentar Fra : arlet |
Dato : 05-03-04 11:22 |
| | |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|