Backdoor Haxdoor-Trojan

[Moyet]

Kan någon hjälpa mig att få bort denna Trojan från min dator. Enligt SpyBoot så är det 1 träff..och filen ska finnas i mappen C:\winnt\system32 och filen heter där klogini.dll tar bort den men den återkommer hela tiden

 

Enligt AdA finns det ingen Trojan, men jag har iaf kopierat in texten från AdA

 

[log]

 

 

Ad-Aware SE Build 1.05

Logfile Created on:den 21 januari 2005 22:55:44

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R25 11.01.2005

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MRU List(TAC index:0):5 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

 

 

2005-01-21 22:55:44 - Scan started. (Full System Scan)

 

MRU List Object Recognized!

Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : C:\Documents and Settings\Administrator\recent

Description : list of recently opened documents

 

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [smss.exe]

FilePath : \SystemRoot\System32 ProcessID : 164

ThreadCreationTime : 2005-01-21 20:36:20

BasePriority : Normal

 

 

#:2 [csrss.exe]

FilePath : \??\C:\WINNT\system32 ProcessID : 188

ThreadCreationTime : 2005-01-21 20:36:32

BasePriority : Normal

 

 

#:3 [services.exe]

FilePath : C:\WINNT\system32 ProcessID : 236

ThreadCreationTime : 2005-01-21 20:36:37

BasePriority : Normal

FileVersion : 5.00.2195.3940

ProductVersion : 5.00.2195.3940

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Services and Controller app

InternalName : services.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : services.exe

 

#:4 [lsass.exe]

FilePath : C:\WINNT\system32 ProcessID : 248

ThreadCreationTime : 2005-01-21 20:36:37

BasePriority : Normal

FileVersion : 5.00.2195.5430

ProductVersion : 5.00.2195.5430

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Executable and Server DLL (Export Version)

InternalName : lsasrv.dll and lsass.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : lsasrv.dll and lsass.exe

 

#:5 [svchost.exe]

FilePath : C:\WINNT\system32 ProcessID : 428

ThreadCreationTime : 2005-01-21 20:36:46

BasePriority : Normal

FileVersion : 5.00.2134.1

ProductVersion : 5.00.2134.1

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : svchost.exe

 

#:6 [spoolsv.exe]

FilePath : C:\WINNT\system32 ProcessID : 468

ThreadCreationTime : 2005-01-21 20:36:47

BasePriority : Normal

FileVersion : 5.00.2195.4299

ProductVersion : 5.00.2195.4299

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolss.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : spoolss.exe

 

#:7 [avgamsvr.exe]

FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 496

ThreadCreationTime : 2005-01-21 20:36:48

BasePriority : Normal

FileVersion : 7,1,0,299

ProductVersion : 7.1.0.299

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Alert Manager

InternalName : avgamsvr

LegalCopyright : Copyright © 2004, GRISOFT, s.r.o.

OriginalFilename : avgamsvr.EXE

 

#:8 [avgupsvc.exe]

FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 524

ThreadCreationTime : 2005-01-21 20:36:51

BasePriority : Normal

FileVersion : 7,1,0,285

ProductVersion : 7.1.0.285

ProductName : AVG 7.0 Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Update Service

InternalName : avgupsvc

LegalCopyright : Copyright © 2004, GRISOFT, s.r.o.

OriginalFilename : avgupdsvc.EXE

 

#:9 [svchost.exe]

FilePath : C:\WINNT\System32 ProcessID : 560

ThreadCreationTime : 2005-01-21 20:36:53

BasePriority : Normal

FileVersion : 5.00.2134.1

ProductVersion : 5.00.2134.1

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : svchost.exe

 

#:10 [incdsrv.exe]

FilePath : C:\Program Files\Ahead\InCD ProcessID : 572

ThreadCreationTime : 2005-01-21 20:36:54

BasePriority : Normal

FileVersion : 4, 1, 5, 10

ProductVersion : 4, 1, 5, 10

ProductName : Ahead Software AG incdsrv

CompanyName : Ahead Software AG

FileDescription : incdsrv

InternalName : incdsrv

LegalCopyright : Copyright 1995-2004 Ahead Software AG and its licensors. All Rights Reserved.

LegalTrademarks : InCD is a trademark of Ahead Software AG

OriginalFilename : incdsrv.exe

 

#:11 [regsvc.exe]

FilePath : C:\WINNT\system32 ProcessID : 620

ThreadCreationTime : 2005-01-21 20:36:57

BasePriority : Normal

FileVersion : 5.00.2195.3649

ProductVersion : 5.00.2195.3649

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Remote Registry Service

InternalName : regsvc

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : REGSVC.EXE

 

#:12 [mstask.exe]

FilePath : C:\WINNT\system32 ProcessID : 636

ThreadCreationTime : 2005-01-21 20:36:58

BasePriority : Normal

FileVersion : 4.71.2195.1

ProductVersion : 4.71.2195.1

ProductName : Microsoft® Windows® Task Scheduler

CompanyName : Microsoft Corporation

FileDescription : Task Scheduler Engine

InternalName : TaskScheduler

LegalCopyright : Copyright © Microsoft Corp. 1997

OriginalFilename : mstask.exe

 

#:13 [stisvc.exe]

FilePath : C:\WINNT\system32 ProcessID : 696

ThreadCreationTime : 2005-01-21 20:36:59

BasePriority : Normal

FileVersion : 5.00.2195.3649

ProductVersion : 5.00.2195.3649

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Still Image Devices Monitor

InternalName : STIMON

LegalCopyright : Copyright © Microsoft Corp. 1996-1997

OriginalFilename : STIMON.EXE

 

#:14 [winmgmt.exe]

FilePath : C:\WINNT\System32\WBEM ProcessID : 748

ThreadCreationTime : 2005-01-21 20:37:27

BasePriority : Normal

FileVersion : 1.50.1085.0070

ProductVersion : 1.50.1085.0070

ProductName : Windows Management Instrumentation

CompanyName : Microsoft Corporation

FileDescription : Windows Management Instrumentation

InternalName : WINMGMT

LegalCopyright : Copyright © Microsoft Corp. 1995-1999

 

#:15 [mspmspsv.exe]

FilePath : C:\WINNT\System32 ProcessID : 724

ThreadCreationTime : 2005-01-21 20:37:29

BasePriority : Normal

FileVersion : 7.10.00.3068

ProductVersion : 7.10.00.3068

ProductName : Microsoft ® DRM

CompanyName : Microsoft Corporation

FileDescription : WMDM PMSP Service

InternalName : MSPMSPSV.EXE

LegalCopyright : Copyright © Microsoft Corp. 1981-2000

OriginalFilename : MSPMSPSV.EXE

 

#:16 [svchost.exe]

FilePath : C:\WINNT\system32 ProcessID : 816

ThreadCreationTime : 2005-01-21 20:37:29

BasePriority : Normal

FileVersion : 5.00.2134.1

ProductVersion : 5.00.2134.1

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : svchost.exe

 

#:17 [explorer.exe]

FilePath : C:\WINNT ProcessID : 1000

ThreadCreationTime : 2005-01-21 21:03:29

BasePriority : Normal

FileVersion : 5.00.3502.5321

ProductVersion : 5.00.3502.5321

ProductName : Microsoft® Windows ® 2000 Operating System

CompanyName : Microsoft Corporation

FileDescription : Windows Explorer

InternalName : explorer

LegalCopyright : Copyright © Microsoft Corp. 1981-1999

OriginalFilename : EXPLORER.EXE

 

#:18 [winampa.exe]

FilePath : C:\Program Files\Winamp ProcessID : 1008

ThreadCreationTime : 2005-01-21 21:03:36

BasePriority : Normal

 

 

#:19 [incd.exe]

FilePath : C:\Program Files\Ahead\InCD ProcessID : 1012

ThreadCreationTime : 2005-01-21 21:03:36

BasePriority : Normal

FileVersion : 4, 1, 5, 10

ProductVersion : 4, 1, 5, 10

ProductName : Ahead Software AG InCD

CompanyName : Ahead Software AG

FileDescription : InCD

InternalName : InCD

LegalCopyright : Copyright 1995-2004 Ahead Software AG and its licensors. All Rights Reserved.

LegalTrademarks : InCD is a trademark of Ahead Software AG

OriginalFilename : InCD.exe

 

#:20 [qttask.exe]

FilePath : C:\Program Files\QuickTime ProcessID : 1168

ThreadCreationTime : 2005-01-21 21:03:38

BasePriority : Normal

FileVersion : 6.5.1

ProductVersion : QuickTime 6.5.1

ProductName : QuickTime

CompanyName : Apple Computer, Inc.

InternalName : QuickTime Task

LegalCopyright : © Apple Computer, Inc. 2001-2004

OriginalFilename : QTTask.exe

 

#:21 [avgemc.exe]

FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 1188

ThreadCreationTime : 2005-01-21 21:03:40

BasePriority : Normal

FileVersion : 7,1,0,300

ProductVersion : 7.1.0.300

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG E-Mail Scanner

InternalName : avgemc

LegalCopyright : Copyright © 2004, GRISOFT, s.r.o.

OriginalFilename : avgemc.exe

 

#:22 [msnmsgr.exe]

FilePath : C:\Program Files\MSN Messenger ProcessID : 1196

ThreadCreationTime : 2005-01-21 21:03:41

BasePriority : Normal

FileVersion : 7.0.0425

ProductVersion : 7.0.0425

ProductName : MSN Messenger

CompanyName : Microsoft Corporation

FileDescription : MSN Messenger

InternalName : msnmsgr

LegalCopyright : Copyright © Microsoft Corporation 1997-2004

LegalTrademarks : Microsoft® is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.

OriginalFilename : msnmsgr.exe

 

#:23 [iexplore.exe]

FilePath : C:\Program Files\Internet Explorer ProcessID : 3288

ThreadCreationTime : 2005-01-21 21:45:01

BasePriority : Normal

FileVersion : 6.00.2800.1106

ProductVersion : 6.00.2800.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Internet Explorer

InternalName : iexplore

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : IEXPLORE.EXE

 

#:24 [spybotsd.exe]

FilePath : C:\Program Files\Spybot - Search & Destroy ProcessID : 6632

ThreadCreationTime : 2005-01-21 21:46:02

BasePriority : Normal

FileVersion : 1, 3, 0, 12

ProductVersion : 1, 3, 0, 12

ProductName : SpyBot-S&D

CompanyName : Safer Networking Limited

FileDescription : Spybot - Search & Destroy

InternalName : SpybotSD

LegalCopyright : © 2000-2004 Patrick M. Kolla / Safer Networking Limited. Alle Rechte vorbehalten.

LegalTrademarks : "Spybot" und "Spybot - Search & Destroy" sind registrierte Warenzeichen.

OriginalFilename : SpyBotSD.exe

Comments : Software zum Entfernen von Spyware und ähnlichen Bedrohungen.

 

#:25 [ad-aware.exe]

FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal ProcessID : 9880

ThreadCreationTime : 2005-01-21 21:53:41

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for D:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

 

Scanning Hosts file......

Hosts file location:"C:\WINNT\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

698 entries scanned.

New critical objects:0

Objects found so far: 5

 

 

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 5

 

23:31:47 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:36:02.890

Objects scanned:120300

Objects identified:0

Objects ignored:0

New critical objects:0

 

[/log]

 

/Moyet

 

[Mentor]

[log]Från symantecs hemsida.

 

1.Disable System Restore (Windows Me/XP).

2.Update the virus definitions.

3.Run a full system scan, and delete all files that are detected as Backdoor.Mutny.

 

4.Delete the value that the Trojan added to the registry.

 

a. Click Start, and then click Run. (The Run dialog box appears.)

b. Type the following text: regedit

Then click OK. (The Registry Editor opens.)

c. Navigate to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

d. In the right pane, delete the following value:

"Impersonate"="[RandomLargeNumer]"

e. Delete the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ControlMPRServices\TestService

f. Navigate to the following key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersionWinlogon\Notify\debugg

g. In the right pane, delete the following values:

"DllName"="debugg.dll"

"Startup"="MemManager"

"Impersonate"="1"

"Asynchronous"="1"

"MaxWait"="1"

h. Exit the Registry Editor.[/log]

 

[inlägget ändrat 2005-01-22 01:38:03 av Mentor]

[Brynäsarn]

 

kolla här http://www.spywarezapper.com

 

 

 

[inlägget ändrat 2005-01-23 17:59:20 av Brynäsarn]

[Cecilia]

Syns inget i Ad-aware-loggen.

Bra att Spybot har upptäckt den i alla fall. Då får vi ta till HijackThis, så ska vi nog kunna få bort den ordentligt.

HijackThis laddar du hem här:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen.

Lägg ut loggen i ditt svar på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[Moyet]

Tack Cecilia för att du vill försöka hjälpa mig

 

 

[log]

 

Logfile of HijackThis v1.99.0

Scan saved at 23:02:02, on 2005-01-23

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: qwe.exe

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10

O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

[/log]

 

 

 

 

[Cecilia]

Bra att loggen fick sina LOG-markeringar!

 

Har du en hårdvarubrandvägg?

Eftersom Haxdoor kan tänkas ansluta till internet så är det bra om du drar ur anslutningen till internet så mycket som möjligt eller installerar ett brandväggsprogram som kan stoppa trojanen. Gratisbrandväggar finns från t ex Sygate och Kerio.

 

Du har väl uppdaterat Spybot?

 

Har du ställt in söksidan till http://g.msn.se/0SESVSE/SAOS01?'>http://g.msn.se/0SESVSE/SAOS01?

 

Ladda ner Stinger.exe härifrån och kör det sedan:

http://vil.nai.com/vil/stinger/

Skriv ner om det hittar något, vilka otrevligheter och i vilka filer.

 

Det finns många Haxdoor-varianter så vi behöver lite mer information. Tyvärr verkar de flesta svåra att få bort.

Rapporterade Trend Micros housecall något?

Kör dessa online-skanningar:

http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym

Skriv ner allt de rapporterar, vilka otrevligheter och i vilka filer.

 

Ställ in så att du kan se alla filer i Utforskaren:

Verktyg - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj skyddade operativsystemfiler

 

Vilka av dessa filer finns på din dator:

i.a3d

draw32.dll

p2.ini

cm.dll

vdnt32.sys

hm.sys

memlow.sys

wd.sys

klogini.dll

klo5

ps.a3d

mszx23

vtd_16.exe

 

Kör HijackThis och skanna. Bocka sedan för dessa rader:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01 (om du inte har valt det själv)

O4 - Global Startup: qwe.exe

 

Avsluta alla program och fönster förutom HijackThis.

Tryck på Fix checked.

 

Starta om i felsäkert läge

 

Sök och ta bort filen:

qwe.exe

(om den finns kvar så bör det vara någonstans under C:\Windows)

 

Starta om i normalt läge.

 

Skanna med Spybot och se om det hittar något.

Om någon av online-skanningarna hittade något förut så kör dem igen och rapportera resultatet.

 

Ta ut en ny HijackThis-logg.

 

Tala om vad du har gjort och vad alla skanningarna rapporterade samt bifoga din nya HijackThis-logg.

 

[Moyet]

Hej Cecilia..

 

Jag har Zonelabs brandvägg men den går inte igång längre..vägrar starta.

 

qwe.exe Funnen och borttagen som du beskrev. Var det ett virus?

 

Filer som finns på min dator

 

ps.a3d

klogini.dll

p2.ini

klo5.sys

ps.a3d

 

Stinger

39998 clean files

 

<http://www3.ca.com/securityadvisor/virusinfo/scan.aspx>

Scan Results: Scan Completed. 19596 files scanned. No viruses found.

 

Symantec Online-scanning

Virus Detection:

20160 files scanned, 0 file(s) infected on your disk drives.

 

 

Efter Spybot

Haxdoor-H: Library (Fil, nothing done)

C:\WINNT\system32\klogini.dll

 

 

 

 

 

 

 

 

 

[log]

Logfile of HijackThis v1.99.0

Scan saved at 18:41:45, on 2005-01-24

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

[/log]

 

 

 

[Cecilia]

qwe.exe var i alla fall något som inte hör hemma på din dator, om det sedan var ett virus eller något annat otrevligt vet jag inte.

 

Försök ominstallera ZoneAlarm så får vi se om det hjälper, annars så är det nog Haxdoor som ställer till det. Ha internet bortkopplad så mycket som möjligt.

 

Du listar samma fil 2 gånger, betyder det att det var ett filnamn som blev fel så att det är en till fil som du har på datorn

 

Nu måste jag gå och äta middag, men jag fortsätter att titta på vad det går att göra åt din dator i morgon fm. Är det någon annan som känner sig kallad, så varsågod!!!

 

[Cecilia]

Det programmet kan jag inte rekommendera.

SpywareZapper: front for TZ Spyware Adware Remover (download link is for TZ Spyware Adware Remover, itself a BPS Spyware & Adware Remover clone)

TZ Spyware Adware Remover: false positives work as goad to purchase; Ad-aware rip-off; BPS Spyware & Adware Remover clone

Källa: http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

Alltså ett program som påstår att datorn är infekterad bara för att man ska köpa borttagningsdelen av programmet.

 

[Cecilia]

Det var ju tråkigt att skanningarna inte gav någon information.

 

Om du har tillgång till en annan dator med antingen CD-brännare eller diskettstation och den infekterade datorn har det också så skulle du kunna pröva på att använda Sophos rensningsprogram. Om engelska är Ok för dig så läs här:

http://www.sophos.com/support/disinfection/trojan.html

annars så kan jag hjälpa dig att översätta.

 

Annars så kan vi försöka ändå.

Finns dessa filer? (Någonstans under C:\WINNT, troligen i System32)

W32_SS.EXE

DEBUG.DLL

DEBUGG.DLL

C3.DLL

SDMAPI.SYS

BOOT32.SYS

C3.SYS

C4.SYS

KLOG.SYS

KLIF.SYS

KLPF.SYS

filer som slutar med .a3d

 

För var och en av de filerna + de som du rapporterade förut fanns, högerklicka och titta på Egenskaper. Finns det någon som ser ut som en Microsoft-fil (jämför med andra filer)?

 

Sedan behöver du titta i registret. Jag tror att programmet för det heter Regedit även i Windows2000. I vänsterkolumnen leta dig ner till följande nyckel-mapp:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Tryck på +tecknet före Services.

Se efter om du kan hitta första delen (den före .) av de filer som du har letat upp på datorn någonstans i den listan.

Skriv ner vilka som finns med här.

 

Leta sedan i vänsterkolumnen efter detta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

och se om du hittar några av filerna (första delen) där. Skriv ner vilka i så fall.

 

Detta behövs för att veta exakt vilken Haxdoor-variant och därmed exakt vad som behöver göras åt din dator.

PS. Någon av dessa bör det vara:

http://www.sophos.com/virusinfo/analyses/trojhaxdoorac.html

http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html

http://www.sophos.com/virusinfo/analyses/trojhaxdoorp.html

http://www.sophos.com/virusinfo/analyses/trojhaxdoort.html

 

 

[Moyet]

Hej Cecilia

 

Hjärtligt tack för att du försöker hjälpa mig../Moyet

 

 

 

filer som slutar med .a3d

 

fltr.a3d

ps.a3d

redir.a3d

 

Alla i mappen C:\winnt\system32

 

Jag har laddat hem en testversion av NOD32 den hittade W32/Parite-B

http://www.sophos.com/virusinfo/analyses/w32pariteb.html

 

den hittade även win32/haxdoor.BB.trojan

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.b.html

 

En fråga..laddade ner brandvägg från Sygate..där kom det upp en fil som heter lsass.exe. När jag läser på

F-Secure sida uppfattar jag det som virus..stämmer det? I vilket fall som helst så har jag blockerat den.

http://www.f-secure.se/virus/virusinfo.asp?Namn=MyDoom.L&Detailed=1

Och enligt Sygate brandvägg så försöker vtd_16.exe ta sig ut/in..men har blockerat filen..men när jag söker filen på min dator så hittar jag inte den..

 

och en fråga till..när jag kör ctrl + alt + del och får upp aktivitetshanteraren så kommer bara CPU Usage upp..jag ser alltså inte

vilka program som körs osv..vet du hur jag ska göra för att få den till normalt läge?

 

Jag har inte använt regedit än eftersom jag är osäker på vad du vill jag ska göra där, men jag har iaf gjort en Hijack logga till dig

 

 

 

 

 

[log]

Logfile of HijackThis v1.99.0

Scan saved at 03:43:05, on 2005-01-26

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\Windows NT\Accessories\WORDPAD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10

O23 - Service: ASP.NET State Service - Unknown - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)

O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

O23 - Service: Performance Logs and Alerts - Unknown - C:\WINNT\system32\smlogsvc.exe (file missing)

 

[/log]

 

[Cecilia]

Vad bra att du kom på att ladda hem en annan brandvägg!

Och antivirus också!

 

Det där med Parite låter verkligen inte bra. Det tycks kunna gå in och ändra i en massa filer enligt den Sophos-sidan, fliken Description.

Så för att få den att sluta förstöra starta omedelbart om i felsäkert läge och ta bort alla filer från olika Temp-mappar. Nu vet jag inte exakt hur det ser ut i Windows 2000 men i XP så finns följande:

C:\WINNT\Temp

C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temp

C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temporary Internet Files

Kom ihåg att ställa in så att du kan se alla filer i Utforskaren först.

 

Gör ovanstående och se sedan om NOD32 kan åtgärda allt som den har ställt till med din dator genom att skanna i felsäkert läge, men låt den inte radera filer från hårddisken annat än sådan som ligger i mapparna ovan som du skulle töma, för övrigt gäller åtgärda, byta namn eller lägga i karantän eller liknande går bra. Den kan kanske också fixa till något gällande Haxdoor-filerna i felsäkert läge.

 

Om den där Symantec-sidan ska stämma så ska du ha filen w32_ss.exe i C:\winnt\system32 men du säger att du inte har den, så jag blir så förvirrad om vad du egentligen har för Haxdoor-variant.

 

Jag vill bara att du använder regedit för att se vilka filer som har lämnat spår där så att det går att se vilken Haxdoor-variant du har. Speciellt som du skriver att du inte har de mest väsentliga filerna på datorn såsom de .exe och .sys filer som jag har frågat om. Sophos anger 18 olika Haxdoor-varianter och därmed 18 olika sätt som datorn ska återställas, även om det med de svar jag fick förut så var 4 troligast så skulle jag vilja vara säker innan jag säger till dig att gå in i registret och ändra. Ändra i registrest för att få bort Haxdoor måste man göra om man inte kan ladda hem Sophos rensningsprogram på en icke infekterad dator som jag skrev om förut.

 

lsass.exe är normalt sett en alldeles vanlig Windows-fil, även om det finns virus som utnyttjar samma filnamn. Men viruset ska lämna spår i HijackThis-loggen och jag kan inte se några där.

http://www.processlibrary.com/directory/files/lsass/index.php

 

 

[Cecilia]

Hur går det Moyet?

 

Om det är något du inte förstår så är det bara att fråga på!