Moyet Posted January 21, 2005 Share Posted January 21, 2005 Kan någon hjälpa mig att få bort denna Trojan från min dator. Enligt SpyBoot så är det 1 träff..och filen ska finnas i mappen C:\winnt\system32 och filen heter där klogini.dll tar bort den men den återkommer hela tiden Enligt AdA finns det ingen Trojan, men jag har iaf kopierat in texten från AdA [log] Ad-Aware SE Build 1.05 Logfile Created on:den 21 januari 2005 22:55:44 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R25 11.01.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):5 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 2005-01-21 22:55:44 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-1708537768-1935655697-2146702707-500\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : C:\Documents and Settings\Administrator\recent Description : list of recently opened documents Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32 ProcessID : 164 ThreadCreationTime : 2005-01-21 20:36:20 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINNT\system32 ProcessID : 188 ThreadCreationTime : 2005-01-21 20:36:32 BasePriority : Normal #:3 [services.exe] FilePath : C:\WINNT\system32 ProcessID : 236 ThreadCreationTime : 2005-01-21 20:36:37 BasePriority : Normal FileVersion : 5.00.2195.3940 ProductVersion : 5.00.2195.3940 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Services and Controller app InternalName : services.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : services.exe #:4 [lsass.exe] FilePath : C:\WINNT\system32 ProcessID : 248 ThreadCreationTime : 2005-01-21 20:36:37 BasePriority : Normal FileVersion : 5.00.2195.5430 ProductVersion : 5.00.2195.5430 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : LSA Executable and Server DLL (Export Version) InternalName : lsasrv.dll and lsass.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : lsasrv.dll and lsass.exe #:5 [svchost.exe] FilePath : C:\WINNT\system32 ProcessID : 428 ThreadCreationTime : 2005-01-21 20:36:46 BasePriority : Normal FileVersion : 5.00.2134.1 ProductVersion : 5.00.2134.1 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : svchost.exe #:6 [spoolsv.exe] FilePath : C:\WINNT\system32 ProcessID : 468 ThreadCreationTime : 2005-01-21 20:36:47 BasePriority : Normal FileVersion : 5.00.2195.4299 ProductVersion : 5.00.2195.4299 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolss.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : spoolss.exe #:7 [avgamsvr.exe] FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 496 ThreadCreationTime : 2005-01-21 20:36:48 BasePriority : Normal FileVersion : 7,1,0,299 ProductVersion : 7.1.0.299 ProductName : AVG Anti-Virus System CompanyName : GRISOFT, s.r.o. FileDescription : AVG Alert Manager InternalName : avgamsvr LegalCopyright : Copyright © 2004, GRISOFT, s.r.o. OriginalFilename : avgamsvr.EXE #:8 [avgupsvc.exe] FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 524 ThreadCreationTime : 2005-01-21 20:36:51 BasePriority : Normal FileVersion : 7,1,0,285 ProductVersion : 7.1.0.285 ProductName : AVG 7.0 Anti-Virus System CompanyName : GRISOFT, s.r.o. FileDescription : AVG Update Service InternalName : avgupsvc LegalCopyright : Copyright © 2004, GRISOFT, s.r.o. OriginalFilename : avgupdsvc.EXE #:9 [svchost.exe] FilePath : C:\WINNT\System32 ProcessID : 560 ThreadCreationTime : 2005-01-21 20:36:53 BasePriority : Normal FileVersion : 5.00.2134.1 ProductVersion : 5.00.2134.1 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : svchost.exe #:10 [incdsrv.exe] FilePath : C:\Program Files\Ahead\InCD ProcessID : 572 ThreadCreationTime : 2005-01-21 20:36:54 BasePriority : Normal FileVersion : 4, 1, 5, 10 ProductVersion : 4, 1, 5, 10 ProductName : Ahead Software AG incdsrv CompanyName : Ahead Software AG FileDescription : incdsrv InternalName : incdsrv LegalCopyright : Copyright 1995-2004 Ahead Software AG and its licensors. All Rights Reserved. LegalTrademarks : InCD is a trademark of Ahead Software AG OriginalFilename : incdsrv.exe #:11 [regsvc.exe] FilePath : C:\WINNT\system32 ProcessID : 620 ThreadCreationTime : 2005-01-21 20:36:57 BasePriority : Normal FileVersion : 5.00.2195.3649 ProductVersion : 5.00.2195.3649 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Remote Registry Service InternalName : regsvc LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : REGSVC.EXE #:12 [mstask.exe] FilePath : C:\WINNT\system32 ProcessID : 636 ThreadCreationTime : 2005-01-21 20:36:58 BasePriority : Normal FileVersion : 4.71.2195.1 ProductVersion : 4.71.2195.1 ProductName : Microsoft® Windows® Task Scheduler CompanyName : Microsoft Corporation FileDescription : Task Scheduler Engine InternalName : TaskScheduler LegalCopyright : Copyright © Microsoft Corp. 1997 OriginalFilename : mstask.exe #:13 [stisvc.exe] FilePath : C:\WINNT\system32 ProcessID : 696 ThreadCreationTime : 2005-01-21 20:36:59 BasePriority : Normal FileVersion : 5.00.2195.3649 ProductVersion : 5.00.2195.3649 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Still Image Devices Monitor InternalName : STIMON LegalCopyright : Copyright © Microsoft Corp. 1996-1997 OriginalFilename : STIMON.EXE #:14 [winmgmt.exe] FilePath : C:\WINNT\System32\WBEM ProcessID : 748 ThreadCreationTime : 2005-01-21 20:37:27 BasePriority : Normal FileVersion : 1.50.1085.0070 ProductVersion : 1.50.1085.0070 ProductName : Windows Management Instrumentation CompanyName : Microsoft Corporation FileDescription : Windows Management Instrumentation InternalName : WINMGMT LegalCopyright : Copyright © Microsoft Corp. 1995-1999 #:15 [mspmspsv.exe] FilePath : C:\WINNT\System32 ProcessID : 724 ThreadCreationTime : 2005-01-21 20:37:29 BasePriority : Normal FileVersion : 7.10.00.3068 ProductVersion : 7.10.00.3068 ProductName : Microsoft ® DRM CompanyName : Microsoft Corporation FileDescription : WMDM PMSP Service InternalName : MSPMSPSV.EXE LegalCopyright : Copyright © Microsoft Corp. 1981-2000 OriginalFilename : MSPMSPSV.EXE #:16 [svchost.exe] FilePath : C:\WINNT\system32 ProcessID : 816 ThreadCreationTime : 2005-01-21 20:37:29 BasePriority : Normal FileVersion : 5.00.2134.1 ProductVersion : 5.00.2134.1 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : svchost.exe #:17 [explorer.exe] FilePath : C:\WINNT ProcessID : 1000 ThreadCreationTime : 2005-01-21 21:03:29 BasePriority : Normal FileVersion : 5.00.3502.5321 ProductVersion : 5.00.3502.5321 ProductName : Microsoft® Windows ® 2000 Operating System CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : Copyright © Microsoft Corp. 1981-1999 OriginalFilename : EXPLORER.EXE #:18 [winampa.exe] FilePath : C:\Program Files\Winamp ProcessID : 1008 ThreadCreationTime : 2005-01-21 21:03:36 BasePriority : Normal #:19 [incd.exe] FilePath : C:\Program Files\Ahead\InCD ProcessID : 1012 ThreadCreationTime : 2005-01-21 21:03:36 BasePriority : Normal FileVersion : 4, 1, 5, 10 ProductVersion : 4, 1, 5, 10 ProductName : Ahead Software AG InCD CompanyName : Ahead Software AG FileDescription : InCD InternalName : InCD LegalCopyright : Copyright 1995-2004 Ahead Software AG and its licensors. All Rights Reserved. LegalTrademarks : InCD is a trademark of Ahead Software AG OriginalFilename : InCD.exe #:20 [qttask.exe] FilePath : C:\Program Files\QuickTime ProcessID : 1168 ThreadCreationTime : 2005-01-21 21:03:38 BasePriority : Normal FileVersion : 6.5.1 ProductVersion : QuickTime 6.5.1 ProductName : QuickTime CompanyName : Apple Computer, Inc. InternalName : QuickTime Task LegalCopyright : © Apple Computer, Inc. 2001-2004 OriginalFilename : QTTask.exe #:21 [avgemc.exe] FilePath : C:\PROGRA~1\Grisoft\AVGFRE~1 ProcessID : 1188 ThreadCreationTime : 2005-01-21 21:03:40 BasePriority : Normal FileVersion : 7,1,0,300 ProductVersion : 7.1.0.300 ProductName : AVG Anti-Virus System CompanyName : GRISOFT, s.r.o. FileDescription : AVG E-Mail Scanner InternalName : avgemc LegalCopyright : Copyright © 2004, GRISOFT, s.r.o. OriginalFilename : avgemc.exe #:22 [msnmsgr.exe] FilePath : C:\Program Files\MSN Messenger ProcessID : 1196 ThreadCreationTime : 2005-01-21 21:03:41 BasePriority : Normal FileVersion : 7.0.0425 ProductVersion : 7.0.0425 ProductName : MSN Messenger CompanyName : Microsoft Corporation FileDescription : MSN Messenger InternalName : msnmsgr LegalCopyright : Copyright © Microsoft Corporation 1997-2004 LegalTrademarks : Microsoft® is a registered trademark of Microsoft Corporation in the U.S. and/or other countries. OriginalFilename : msnmsgr.exe #:23 [iexplore.exe] FilePath : C:\Program Files\Internet Explorer ProcessID : 3288 ThreadCreationTime : 2005-01-21 21:45:01 BasePriority : Normal FileVersion : 6.00.2800.1106 ProductVersion : 6.00.2800.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Internet Explorer InternalName : iexplore LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : IEXPLORE.EXE #:24 [spybotsd.exe] FilePath : C:\Program Files\Spybot - Search & Destroy ProcessID : 6632 ThreadCreationTime : 2005-01-21 21:46:02 BasePriority : Normal FileVersion : 1, 3, 0, 12 ProductVersion : 1, 3, 0, 12 ProductName : SpyBot-S&D CompanyName : Safer Networking Limited FileDescription : Spybot - Search & Destroy InternalName : SpybotSD LegalCopyright : © 2000-2004 Patrick M. Kolla / Safer Networking Limited. Alle Rechte vorbehalten. LegalTrademarks : "Spybot" und "Spybot - Search & Destroy" sind registrierte Warenzeichen. OriginalFilename : SpyBotSD.exe Comments : Software zum Entfernen von Spyware und ähnlichen Bedrohungen. #:25 [ad-aware.exe] FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal ProcessID : 9880 ThreadCreationTime : 2005-01-21 21:53:41 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Deep scanning and examining files (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Deep scanning and examining files (D:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 Scanning Hosts file...... Hosts file location:"C:\WINNT\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 698 entries scanned. New critical objects:0 Objects found so far: 5 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 5 23:31:47 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:36:02.890 Objects scanned:120300 Objects identified:0 Objects ignored:0 New critical objects:0 [/log] /Moyet Link to comment Share on other sites More sharing options...
Mentor Posted January 22, 2005 Share Posted January 22, 2005 [log]Från symantecs hemsida. 1.Disable System Restore (Windows Me/XP). 2.Update the virus definitions. 3.Run a full system scan, and delete all files that are detected as Backdoor.Mutny. 4.Delete the value that the Trojan added to the registry. a. Click Start, and then click Run. (The Run dialog box appears.) b. Type the following text: regedit Then click OK. (The Registry Editor opens.) c. Navigate to the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control d. In the right pane, delete the following value: "Impersonate"="[RandomLargeNumer]" e. Delete the following key: HKEY_LOCAL_MACHINE\System\CurrentControlSet\ControlMPRServices\TestService f. Navigate to the following key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersionWinlogon\Notify\debugg g. In the right pane, delete the following values: "DllName"="debugg.dll" "Startup"="MemManager" "Impersonate"="1" "Asynchronous"="1" "MaxWait"="1" h. Exit the Registry Editor.[/log] [inlägget ändrat 2005-01-22 01:38:03 av Mentor] Link to comment Share on other sites More sharing options...
Brynäsarn Posted January 22, 2005 Share Posted January 22, 2005 kolla här http://www.spywarezapper.com [inlägget ändrat 2005-01-23 17:59:20 av Brynäsarn] Link to comment Share on other sites More sharing options...
Cecilia Posted January 23, 2005 Share Posted January 23, 2005 Syns inget i Ad-aware-loggen. Bra att Spybot har upptäckt den i alla fall. Då får vi ta till HijackThis, så ska vi nog kunna få bort den ordentligt. HijackThis laddar du hem här: http://www.spywareinfo.com/~merijn/downloads.html Kör, skanna och spara loggen. Lägg ut loggen i ditt svar på detta sätt: Tryck på LOG-knappen i Besvara-fönstret Klistra in loggen Tryck igen på LOG-knappen Link to comment Share on other sites More sharing options...
Moyet Posted January 23, 2005 Author Share Posted January 23, 2005 Tack Cecilia för att du vill försöka hjälpa mig [log] Logfile of HijackThis v1.99.0 Scan saved at 23:02:02, on 2005-01-23 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\QuickTime\qttask.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: qwe.exe O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10 O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe [/log] Link to comment Share on other sites More sharing options...
Cecilia Posted January 24, 2005 Share Posted January 24, 2005 Bra att loggen fick sina LOG-markeringar! Har du en hårdvarubrandvägg? Eftersom Haxdoor kan tänkas ansluta till internet så är det bra om du drar ur anslutningen till internet så mycket som möjligt eller installerar ett brandväggsprogram som kan stoppa trojanen. Gratisbrandväggar finns från t ex Sygate och Kerio. Du har väl uppdaterat Spybot? Har du ställt in söksidan till http://g.msn.se/0SESVSE/SAOS01?'>http://g.msn.se/0SESVSE/SAOS01? Ladda ner Stinger.exe härifrån och kör det sedan: http://vil.nai.com/vil/stinger/ Skriv ner om det hittar något, vilka otrevligheter och i vilka filer. Det finns många Haxdoor-varianter så vi behöver lite mer information. Tyvärr verkar de flesta svåra att få bort. Rapporterade Trend Micros housecall något? Kör dessa online-skanningar: http://www3.ca.com/securityadvisor/virusinfo/scan.aspx http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym Skriv ner allt de rapporterar, vilka otrevligheter och i vilka filer. Ställ in så att du kan se alla filer i Utforskaren: Verktyg - Mappalternativ - Visning Välj Visa dolda filer och mappar Avbocka Dölj skyddade operativsystemfiler Vilka av dessa filer finns på din dator: i.a3d draw32.dll p2.ini cm.dll vdnt32.sys hm.sys memlow.sys wd.sys klogini.dll klo5 ps.a3d mszx23 vtd_16.exe Kör HijackThis och skanna. Bocka sedan för dessa rader: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01 (om du inte har valt det själv) O4 - Global Startup: qwe.exe Avsluta alla program och fönster förutom HijackThis. Tryck på Fix checked. Starta om i felsäkert läge Sök och ta bort filen: qwe.exe (om den finns kvar så bör det vara någonstans under C:\Windows) Starta om i normalt läge. Skanna med Spybot och se om det hittar något. Om någon av online-skanningarna hittade något förut så kör dem igen och rapportera resultatet. Ta ut en ny HijackThis-logg. Tala om vad du har gjort och vad alla skanningarna rapporterade samt bifoga din nya HijackThis-logg. Link to comment Share on other sites More sharing options...
Moyet Posted January 24, 2005 Author Share Posted January 24, 2005 Hej Cecilia.. Jag har Zonelabs brandvägg men den går inte igång längre..vägrar starta. qwe.exe Funnen och borttagen som du beskrev. Var det ett virus? Filer som finns på min dator ps.a3d klogini.dll p2.ini klo5.sys ps.a3d Stinger 39998 clean files <http://www3.ca.com/securityadvisor/virusinfo/scan.aspx> Scan Results: Scan Completed. 19596 files scanned. No viruses found. Symantec Online-scanning Virus Detection: 20160 files scanned, 0 file(s) infected on your disk drives. Efter Spybot Haxdoor-H: Library (Fil, nothing done) C:\WINNT\system32\klogini.dll [log] Logfile of HijackThis v1.99.0 Scan saved at 18:41:45, on 2005-01-24 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Windows NT\Accessories\WORDPAD.EXE C:\Documents and Settings\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10 O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe [/log] Link to comment Share on other sites More sharing options...
Cecilia Posted January 24, 2005 Share Posted January 24, 2005 qwe.exe var i alla fall något som inte hör hemma på din dator, om det sedan var ett virus eller något annat otrevligt vet jag inte. Försök ominstallera ZoneAlarm så får vi se om det hjälper, annars så är det nog Haxdoor som ställer till det. Ha internet bortkopplad så mycket som möjligt. Du listar samma fil 2 gånger, betyder det att det var ett filnamn som blev fel så att det är en till fil som du har på datorn Nu måste jag gå och äta middag, men jag fortsätter att titta på vad det går att göra åt din dator i morgon fm. Är det någon annan som känner sig kallad, så varsågod!!! Link to comment Share on other sites More sharing options...
Cecilia Posted January 25, 2005 Share Posted January 25, 2005 Det programmet kan jag inte rekommendera. SpywareZapper: front for TZ Spyware Adware Remover (download link is for TZ Spyware Adware Remover, itself a BPS Spyware & Adware Remover clone) TZ Spyware Adware Remover: false positives work as goad to purchase; Ad-aware rip-off; BPS Spyware & Adware Remover clone Källa: http://www.spywarewarrior.com/rogue_anti-spyware.htm Alltså ett program som påstår att datorn är infekterad bara för att man ska köpa borttagningsdelen av programmet. Link to comment Share on other sites More sharing options...
Cecilia Posted January 25, 2005 Share Posted January 25, 2005 Det var ju tråkigt att skanningarna inte gav någon information. Om du har tillgång till en annan dator med antingen CD-brännare eller diskettstation och den infekterade datorn har det också så skulle du kunna pröva på att använda Sophos rensningsprogram. Om engelska är Ok för dig så läs här: http://www.sophos.com/support/disinfection/trojan.html annars så kan jag hjälpa dig att översätta. Annars så kan vi försöka ändå. Finns dessa filer? (Någonstans under C:\WINNT, troligen i System32) W32_SS.EXE DEBUG.DLL DEBUGG.DLL C3.DLL SDMAPI.SYS BOOT32.SYS C3.SYS C4.SYS KLOG.SYS KLIF.SYS KLPF.SYS filer som slutar med .a3d För var och en av de filerna + de som du rapporterade förut fanns, högerklicka och titta på Egenskaper. Finns det någon som ser ut som en Microsoft-fil (jämför med andra filer)? Sedan behöver du titta i registret. Jag tror att programmet för det heter Regedit även i Windows2000. I vänsterkolumnen leta dig ner till följande nyckel-mapp: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Tryck på +tecknet före Services. Se efter om du kan hitta första delen (den före .) av de filer som du har letat upp på datorn någonstans i den listan. Skriv ner vilka som finns med här. Leta sedan i vänsterkolumnen efter detta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify och se om du hittar några av filerna (första delen) där. Skriv ner vilka i så fall. Detta behövs för att veta exakt vilken Haxdoor-variant och därmed exakt vad som behöver göras åt din dator. PS. Någon av dessa bör det vara: http://www.sophos.com/virusinfo/analyses/trojhaxdoorac.html http://www.sophos.com/virusinfo/analyses/trojhaxdoorg.html http://www.sophos.com/virusinfo/analyses/trojhaxdoorp.html http://www.sophos.com/virusinfo/analyses/trojhaxdoort.html Link to comment Share on other sites More sharing options...
Moyet Posted January 26, 2005 Author Share Posted January 26, 2005 Hej Cecilia Hjärtligt tack för att du försöker hjälpa mig../Moyet filer som slutar med .a3d fltr.a3d ps.a3d redir.a3d Alla i mappen C:\winnt\system32 Jag har laddat hem en testversion av NOD32 den hittade W32/Parite-B http://www.sophos.com/virusinfo/analyses/w32pariteb.html den hittade även win32/haxdoor.BB.trojan http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.b.html En fråga..laddade ner brandvägg från Sygate..där kom det upp en fil som heter lsass.exe. När jag läser på F-Secure sida uppfattar jag det som virus..stämmer det? I vilket fall som helst så har jag blockerat den. http://www.f-secure.se/virus/virusinfo.asp?Namn=MyDoom.L&Detailed=1 Och enligt Sygate brandvägg så försöker vtd_16.exe ta sig ut/in..men har blockerat filen..men när jag söker filen på min dator så hittar jag inte den.. och en fråga till..när jag kör ctrl + alt + del och får upp aktivitetshanteraren så kommer bara CPU Usage upp..jag ser alltså inte vilka program som körs osv..vet du hur jag ska göra för att få den till normalt läge? Jag har inte använt regedit än eftersom jag är osäker på vad du vill jag ska göra där, men jag har iaf gjort en Hijack logga till dig [log] Logfile of HijackThis v1.99.0 Scan saved at 03:43:05, on 2005-01-26 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\Program Files\Eset\nod32krn.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Eset\nod32.exe C:\Program Files\Windows NT\Accessories\WORDPAD.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qx.se/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylom.spray.se/activex/zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D8D843-D49B-42D4-96F9-0155E58387B4}: NameServer = 193.15.118.193,192.71.220.10 O23 - Service: ASP.NET State Service - Unknown - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing) O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Performance Logs and Alerts - Unknown - C:\WINNT\system32\smlogsvc.exe (file missing) [/log] Link to comment Share on other sites More sharing options...
Cecilia Posted January 26, 2005 Share Posted January 26, 2005 Vad bra att du kom på att ladda hem en annan brandvägg! Och antivirus också! Det där med Parite låter verkligen inte bra. Det tycks kunna gå in och ändra i en massa filer enligt den Sophos-sidan, fliken Description. Så för att få den att sluta förstöra starta omedelbart om i felsäkert läge och ta bort alla filer från olika Temp-mappar. Nu vet jag inte exakt hur det ser ut i Windows 2000 men i XP så finns följande: C:\WINNT\Temp C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temp C:\Documents and Settings\<anv.namn>\Lokala inställningar\Temporary Internet Files Kom ihåg att ställa in så att du kan se alla filer i Utforskaren först. Gör ovanstående och se sedan om NOD32 kan åtgärda allt som den har ställt till med din dator genom att skanna i felsäkert läge, men låt den inte radera filer från hårddisken annat än sådan som ligger i mapparna ovan som du skulle töma, för övrigt gäller åtgärda, byta namn eller lägga i karantän eller liknande går bra. Den kan kanske också fixa till något gällande Haxdoor-filerna i felsäkert läge. Om den där Symantec-sidan ska stämma så ska du ha filen w32_ss.exe i C:\winnt\system32 men du säger att du inte har den, så jag blir så förvirrad om vad du egentligen har för Haxdoor-variant. Jag vill bara att du använder regedit för att se vilka filer som har lämnat spår där så att det går att se vilken Haxdoor-variant du har. Speciellt som du skriver att du inte har de mest väsentliga filerna på datorn såsom de .exe och .sys filer som jag har frågat om. Sophos anger 18 olika Haxdoor-varianter och därmed 18 olika sätt som datorn ska återställas, även om det med de svar jag fick förut så var 4 troligast så skulle jag vilja vara säker innan jag säger till dig att gå in i registret och ändra. Ändra i registrest för att få bort Haxdoor måste man göra om man inte kan ladda hem Sophos rensningsprogram på en icke infekterad dator som jag skrev om förut. lsass.exe är normalt sett en alldeles vanlig Windows-fil, även om det finns virus som utnyttjar samma filnamn. Men viruset ska lämna spår i HijackThis-loggen och jag kan inte se några där. http://www.processlibrary.com/directory/files/lsass/index.php Link to comment Share on other sites More sharing options...
Cecilia Posted January 31, 2005 Share Posted January 31, 2005 Hur går det Moyet? Om det är något du inte förstår så är det bara att fråga på! Link to comment Share on other sites More sharing options...
.thumb.png.71a73be41d8bf63826729db87e16f1ce.png)
Recommended Posts
Archived
This topic is now archived and is closed to further replies.