Samma trojaner som kommer tillbaka

[Diggare]

new.net är automatiskt avbockat av spybot p.g.a att programmet säkerligen känner av detta som obototligt för de själv. Jag har prövat flera gånger med att få bort med att förbocka det hjälpte såom sagt inte. Även i safe mode.

Jag har flyttat hijackthis till \mina dokument\hijackthis så inge fara me de.

 

Det räckte inte med att avaktivera outpost så jag fick lov att avinstallera det för att få igång internet. Och jupp, det som känns bättre nu är att trojanerna inte har kommit tillbaka än så länge och datorn känns friskare (den flyter på mera nu).

Men istället har det nu bytts ut mot ett Backdoor virus (BKDR_SDBOT.GAA) system32\hwclock.exe som kommer tillbaks ganska ständigt efter jag har stängt varningsrutan. Och jag ser inte ens filen hwclock.exe i system32 mappen fasst jag har visa dolda filer å mappar igång.

 

Ahja, nu ska jag börja gå utifrån din punkt angående EliteToolbar, så jag skriver mer sen.

 

[znej]

Gratisversionen av Outpost är förmodligen ingen höjdare. Jag installerade den på min mammas dator och körde Shields Up hos Gibson Research. Resultatet var inte så bra. Några portar visade bara "closed". Har för mig att en port var öppen.

 

Däremot är den nya versionen mycket bra men den är inte gratis.

 

Det är möjligt att resultatet varierar från dator till dator med Outpost gratisversion installerad.

 

Man kan med fördel köra Shields Up och se om man får dåligt resultat. Om så är fallet bör man använda en annan brandvägg.

 

IP-nummer som finns i din logg tillhör Bredbandsbolaget (t ex 15:23:02 NETBIOS IN REFUSED TCP 83.226.35.148 3915 Block NetBIOS Traffic)

 

 

[log]Trying whois for 83.226.35.148...

Connection established.

 

GeekTools Whois Proxy v5.0.4 Ready.

Checking access for 81.228.185.192... ok.

Final results obtained from whois.ripe.net.

Results:

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

inetnum: 83.226.35.0 - 83.226.35.255

netname: BB-BISP-DSL10-KSH10-SE

descr: B2 customer network

country: SE

remarks:

admin-c: BR3045-RIPE

tech-c: BR3045-RIPE

status: ASSIGNED PA

mnt-by: B2-MNT

mnt-routes: B2-MNT

changed: hostmaster@bredband.com 20041109

source: RIPE

 

route: 83.226.0.0/15

descr: Broadband Customers in Scandinavia

descr: Please report improper use to abuse@bredband.com

origin: AS8642

notify: noc@bredband.com

mnt-by: B2-MNT

changed: hostmaster@bredband.com 20040312

source: RIPE

 

role: Bredbandsbolaget Routing Registry

address: Box 47645

address: 117 94 Stockholm

address: Sweden

e-mail: noc@bredband.com[/log]

 

[Brynäsarn]

Det räckte inte med att avaktivera Outpost....

Om du inte har installerat om Outpost, så prova denna brandvägg

istället, Zonealarm http://www.zonelabs.com

 

 

 

 

 

 

 

 

 

[inlägget ändrat 2005-04-08 23:22:04 av Brynäsarn]

[Cecilia]

Det här med Spyware Doctor har iaf jag fortfarande en egen åsikt om. Sorry, C.

Inte behöver du be om ursäkt för det. Jag tycker inte att det är en produkt som behövs, däremot har jag inte sett någon rapport om att programmet ställer till med något i datorn som vissa andra olämpliga antispionprogram.

 

[Brynäsarn]

 

 

Inlägget borttaget

 

 

[inlägget ändrat 2005-04-09 15:28:14 av Brynäsarn]

[Diggare]

Hej igen.

Jag har fått ett nytt problem med att starta hijackthis i normalläge för rutan (eller programmet) stängs ner efter c:a 2 tiondels sekunder. Å samma problem är det med zonealarm brandvägg efter jag ahr installerat det...att det stängs ner på måmangen. Hinner inte trycka på någonting o.O.

 

iaf... så här ser den ny loggen ut från hijackthis i safe mode då det fungerar normalt.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 01:07:34, on 2005-04-10

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\SCardClnt.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Daxxe The One\Mina dokument\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Program\GetRight\xx2gr.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [pccguide.exe] "E:\Program\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "E:\Program\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Program\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [Windows System Backup] SysBackup.exe

O4 - HKLM\..\RunServices: [Windows System Backup] SysBackup.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [AIM] E:\Program\AIM\aim.exe -cnetwait.odl

O4 - HKCU\..\Run: [Windows System Backup] SysBackup.exe

O4 - HKCU\..\RunServices: [Windows System Backup] SysBackup.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Program\GetRight\getright.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\Program\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: &AIM Search - res://C:\Program\AIM Toolbar\AIMBar.dll/aimsearch.htm

O8 - Extra context menu item: Download with GetRight - E:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://E:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - E:\Program\GetRight\GRbrowse.htm

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Program\AIM\aim.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O20 - Winlogon Notify: WB - E:\Program\Stardock\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Q32tifwshn - Sonic Solutions - (no file)

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - E:\Program\Trend Micro\PC-cillin 2002\Tmntsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe[/log]

 

 

ETRemover kunde inte hitta nåt, men trend micro och panda virus online hittade massor som inte pc-chillin eller något annat program identifierade ens, så det värsta är nog borta nu hoppas jag. De e bara de konstiga me programmena förstås att de stängs av automatiskt direkt när man öppnar dom. Jag har inte prövat på många andra dock för att se om det blir likadant.

 

[Diggare]

PS. jag vill även tillägga att regedit stängs ner det med av sig självt direkt och att många instruktions felsrutor på många 2a program dyker upp + att stänga av datorn så kommer rutan "Du kan nu stänga av datorn" upp vilket det aldrig har gjort förut heller. Är det något i hijackthis som har tagits bort abv missförstånd och hur kan man återställa det?

 

[Cecilia]

Fått in nya otrevligheter tror jag.

Kom ihåg att hålla nätverksanslutningen urdragen så mycket som möjligt.

 

Detta program kan hjälpa mot att HijackThis stängs:

http://www.safer-networking.org/files/delcwssk.zip

 

Men det kan också vara någon annan otrevlighet som du har fått som håller på och stänger av säkerhetsprogram.

 

Körde du det där med raderna i Kommandotolken?

Om du gjorde det så verkar det inte ha fungerat. Gör så här i så fall:

Program - Administrationsverktyg - Tjänster

Leta upp tjänsterna:

DirectX DLL Register Support Service eller DirectX DLL

Hardware Clock driver eller hwclock

Power Manager eller PowerManager

Q32tifwshn

Har du sen sist installerat något som har med Smart Card att göra?

Om inte så även denna tjänst:

Smart Card Client eller SCardClnt

På var och en av tjänsterna dubbelklickar du, trycker på Stoppa om det går och ändrar Startmetod till Inaktiverad.

 

Detta ska fixas i HijackThis:

O4 - HKLM\..\Run: [Windows System Backup] SysBackup.exe

O4 - HKLM\..\RunServices: [Windows System Backup] SysBackup.exe

O4 - HKCU\..\Run: [Windows System Backup] SysBackup.exe

O4 - HKCU\..\RunServices: [Windows System Backup] SysBackup.exe

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB

 

Har du sen sist installerat något som har med Smart Card att göra?

Om inte så bocka även denna rad:

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

 

Avsluta alla program och fönster utom HijackThis.

Tryck på Fix checked.

 

Starta om datorn.

 

[Diggare]

Hej igen.

Jag har nu till slut fått bort alla trojaner, virus å andra otrevligheter vilket nu ej aldri kommer tillbaks nå mer, men andra problem har nu förekommit på traven efter alla nya okända trojaner som jag har genomgått om å om igen. Men nu är det stopp på d iaf. *phew"

 

I alla fall. Jag behöver gärna hjälp med lite information på hur man med hjälp av xp-skivan kan reparera windows av DOS kommandot. Jag prövade COPY C:\Windows Repair\System men de kommandot gick ej, troligtvis har ja nog glömt bort det.

 

Det konstiga problemena som har uppkommit till slut är:

 

1.Att nätverksanslutningarna lägger av (så att jag måste starta om datorn ca 1 gång per timme eftersom det är nödvändigt för internets skull.)

 

2.Att datorn inte stänger av sig automatiskt så att man måste göra det manuellt nu mera genom att trycka på on/off knappen själv. Aldrig behövt förut annars.

 

3. Viloläge/vänteläge är inaktivt. Funkar ej numera.

 

4. Att när jag sätter i någn USB-komponent i vardera usb-utag (i windows-normalläge) så fryser sig datorn direkt.

 

De är säkert nå mer å som jag har glömt eller inte har upptäckt än.

 

Senaste trojanen var TROJ_CLICKER.AF och TROJ_LOWZONE.B. Men jag har ju fått bort dom med via trend micros hjälp så de verkar konstigt om de skulle bero på de nurrå.

 

Ahja. Det vore shcysst att få lite hjälp med att få reda på nåt kommando man kan skriva för att återställa windows som de skulle ha funkat från början UTAN att behöva installera om å ladda hem alla program igen.

Jätteschysst.

 

/Danne

 

[Cecilia]

Det var roligt att höra att du har fått bort trojanerna till slut.

 

Du skulle kunna börja med att köra System File Checker (sfc) enligt beskrivningen här:

http://support.microsoft.com/default.aspx?scid=kb;sv;318378

(hjälper inte bara mot problem med IE och Outlook som det står om där).

 

Sedan finns det då ominstallation (reparation utan att ta bort något) med hjälp av XP-skivan:

http://support.microsoft.com/kb/315341/

 

Kopierar in mina standardtips för att undvika virus och spionprogram också:

 

Uppdatera från Windows Update och kör antispionprogrammen Ad-aware och Spybot S&D regelbundet.

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.se

http://www.opera.com