Just nu i M3-nätverket
Jump to content

Hur i he**ve**e!! får man bort trojanen?


Pez

Recommended Posts

Sitter med Windows XP, brandväggen aktiverad.

Har Antivir som antivirusprogram, och Ad-Watch igång.

 

Men trots all min säkerhet får jag flera gånger om dagen varningar från Antivir att en fil på datorn (oftast i windowskatalogen, och oftast en .exe-fil) är en trojansk häst.

 

Man kan välja att "deny access", "delete file", "move to quarantine directory" osv.

 

Men inget hjälper, skiten kommer tillbaks senare vad man än väljer.

Hur f-n får man bort det?

 

Link to comment
Share on other sites

Ladda ner HijackThis från länken nedan

http://www.bleepingcomputer.com/files/Merijn/HijackThis.zip

 

Lägg HijackThis.exe i sin egna PERMANENTA MAPP!

e.x C:\HJT

Det är viktigt att skapa en permanent mapp för det t.ex C:\HJT. Detta är nödvändigt eftersom HJT skapar backups som du kan återställa när någonting har gått fel.

 

Navigera till C:\HJT och dubbelklicka på hijackthis.exe

 

När programmet startar, klicka på Scan + save logfile knappen.

Kopiera loggen och skicka hit den

 

 

Scanna datorn med denna scanner

 

http://www.spywareinfo.dk/download/mwav.exe

 

Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky

Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.

När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\

 

C:\Bases

C:\Downloads

 

Öppna Downloads mappen och måla alla filer och Klipp ut

Klicka på Kapersky mappen och klistra in och svara ja till alla.

Sen öppna Kapersky mappen och dubbelklicka på mwavscan.com

Bocka i Drive och Scan All Files.

Sen klicka på Scan och låt den scanna klart.(kan ta upp till 2 timmar)

Kopiera det som blir i nedre fönster.

Först måla svart sen Ctrl+C (kopiera)

Sen Ctrl+V (klista in)

 

Skicka hit loggen från scannen,alltså allt som kommer i nedre fönster.

 

 

 

Link to comment
Share on other sites

Hijack-loggen:

[log]

Logfile of HijackThis v1.99.1

Scan saved at 15:29:42, on 2005-05-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\AVPersonal\AVGUARD.EXE

C:\Program\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program\AVPersonal\AVGNT.EXE

C:\Program\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\foobar2000\foobar2000.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trillian\trillian.exe

C:\Program\Hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AWMON] "C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AVGCtrl] C:\Program\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program\AVPersonal\AVWUPSRV.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe[/log]

 

[inlägget ändrat 2005-05-18 11:07:23 av Erik Junesjö]

Link to comment
Share on other sites

Navigera till hijackthis.exe

Välj scan, bocka i dessa rader:

 

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

 

Klicka nu på Fix Checked

 

Gå nu till Start och sen "Kör" och skriv i services.msc

Go to start /run and type services.msc

 

I rutan som öppnas, scrolla ner till System Startup Service (SvcProc) , högerklicka på den, välj "Egenskaper" och klicka på "Stoppa Tjänsten". När den visar att den är stoppad, klicka sedan på "Startmetod" och välj den till Inaktivierad. Klicka på OK tills du kommer tillbaka till windows.

 

Väntar nu på mwav scannen..

 

Link to comment
Share on other sites

Mwav-scannen kommer...hade problem att klistra in den här bara...

får lösa det, kanske dela upp den eller något.

 

[inlägget ändrat 2005-05-15 20:41:55 av Pez]

Link to comment
Share on other sites

Okej, här är den:

[log]

File C:\WINDOWS\jxcheuu.exe tagged as not-a-virus:AdWare.BetterInternet.c. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\APC\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\BMK\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\COS\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\DJU\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\DJW\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\DUC\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\FEU\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\JNS\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\LGK\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\LTU\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\QIH\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\VRI\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\VTH\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Documents and Settings\Petter\Lokala inställningar\Temp\YHM\aurareco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Program\AVPersonal\INFECTED\FYYQRWRERC.EXE.001 tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Program\AVPersonal\INFECTED\FYYQRWRERC.EXE.002 tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Program\AVPersonal\INFECTED\FYYQRWRERC.EXE.003 tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Program\AVPersonal\INFECTED\FYYQRWRERC.EXE.004 tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\Program\AVPersonal\INFECTED\FYYQRWRERC.EXE.VIR tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

File C:\WINDOWS\jxcheuu.exe tagged as not-a-virus:AdWare.BetterInternet.c. No Action Taken.[/log]

 

[inlägget ändrat 2005-05-18 11:07:02 av Erik Junesjö]

Link to comment
Share on other sites

Vi kör såhär.

 

Ladda ner Crap Cleaner

"CCleaner"

Den rensar rent i dina Temporära Internetfiler, Cookies m.m.

http://www.majorgeeks.com/download4191.html

 

Hur man rensar rent och använder Ccleaner:

Du ser nu två fönster i CCleaner:

Det högra fönstret är Status-Fönster:

Här ser du två knappar snett ner till höger i Status-Fönstret:

För flik 1 och 2 heter knapparna Analysera och Starta Rensning

För flik 3 heter knapparna Sök för Issius och Fixa valda Issues

 

Vänstra Fönstret har tre flikar:

1: ”Windows” är då Microsofts "soptunna" av allt skräp

I "Avancerat" behöver ingenting bockas i . "Default" läget är helt OK

- Klicka på ”Analysera” sedan klicka på Starta rensning i det högra Status-Fönstret.

 

2: ”Applikationer” är lite blandat med även städning av sk 3:e partsprogram.

- Klicka på ”Analysera” sedan klicka på Starta rensning i det högra Status-Fönstret.

 

3: "Issues" städar även registret.

- Klicka på ”Sök för Issius” och sedan ”Fixa valda Issues ” i det högra Status-Fönstret

 

Töm din AVPersonal Quarantine list

 

C:\WINDOWS\jxcheuu.exe

 

Sätt nu Windows till att visa gömda filer, det gör du genom:

 

*Den här datorn -> Klicka på Vertygsfältet

*Verktyg -> Ner till "Mappalternativ"

*Mappalternativ -> Klicka på fliken "Visning"

*Visning -> Ner till listan

*Sätt en bock vid "Visa dolda filer och mappar"

*Avbocka "Dölj filnamstillägg fär kända filtyper"

*Avbocka "Dölj skyddade operativsystemfiler" -> Verkställ och sen OK

 

Nu måste du starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstart):

Leta nu upp dessa filer och mappar

 

C:\WINDOWS\jxcheuu.exe <== Ta bort filen.

 

Töm papperskorgen och starta om tillbaka i normalt läge.

 

Nu är du väl ren, finns inget kvar av mwav.

Skicka hit en ny fräsh hjtlogg så vi kan vara säkra

 

 

Link to comment
Share on other sites

Tack för att du tar dig tid att hjälpa mig, uppskattas verkligen.

Följde dina anvisningar och gjorde en ny hijack-scan. Antivir varnade dock för en trojan, så helt frisk är nog inte datorn än.. :-(

 

[log]Loggen:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:48:32, on 2005-05-16

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\AVPersonal\AVGUARD.EXE

C:\Program\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program\AVPersonal\AVGNT.EXE

C:\Program\Creative Professional\E-MU PatchMix DSP\EmuPatchMixDSP.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AWMON] "C:\Program\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [AVGCtrl] C:\Program\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [setDefaultMIDI] MIDIDef.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program\AVPersonal\AVWUPSRV.EXE

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe[/log]

 

[inlägget ändrat 2005-05-18 11:06:49 av Erik Junesjö]

Link to comment
Share on other sites

Finner inga elakheter i loggen.

Vad är det för fil den varnar om?

Har du genvägen till filen?

Och eventuellt filens namn?

 

För övrigt så kan du köra några online virusscanners för att vara säker.

 

housecall.trendmicro.com/

www.pandasoftware.com/activescan

 

 

Link to comment
Share on other sites

Såhär står det:

 

C:\WINDOWS\SVCPROC.EXE

 

Is the Trojan horse TR/Stervice.C

 

 

 

Hjälper varken att deleta den, eller deny:a den...

Den kommer tillbaks som en bumerang.

 

Link to comment
Share on other sites

Skulle du vilja hämta hem det här verktyget "Finditnt2000xp.zip" så får vi ta en titt och se om jag kan se någonting här istället. Innan jag/vi ger oss på dunderverktyget.

 

Spara ner den till skrivbordet. Packa upp filen till en egen mapp som du skapat på skrivbordet (döp den till FindItnt2000xp).

 

http://www.thatcomputerguy.us/downloads/finditnt20

 

Öppna nu mappen FindItnt2000xp. Dubbelklicka på Find.bat. Den vill nu scanna i några minuter, den producerar nu en log (Ignorera "File not found" meddelandet på skärmen, den fortsätter ändå). Då den är klar.

Kopiera och klistra in den loggen hit till din tråd.

 

 

Link to comment
Share on other sites

Okej, detta blev resultatet av Findit-scannen:

[log]

Warning! This utility will find legitimate files in addition to malware.

Do not remove anything unless you are sure you know what you're doing.

 

Find.bat is running from: C:\Documents and Settings\Petter\Skrivbord\Find It NT-2K-XP

 

------- System Files in System32 Directory -------

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\System32

 

2005-03-18 17:23 <KAT> dllcache

2005-03-18 16:33 <KAT> Microsoft

0 fil(er) 0 byte

2 katalog(er) 51ÿ651ÿ317ÿ760 byte ledigt

 

------- Hidden Files in System32 Directory -------

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\System32

 

2005-03-18 17:23 <KAT> dllcache

2005-03-18 16:30 488 logonui.exe.manifest

2005-03-18 16:30 488 WindowsLogon.manifest

2005-03-18 16:30 749 cdplayer.exe.manifest

2005-03-18 16:30 749 sapi.cpl.manifest

2005-03-18 16:30 749 nwc.cpl.manifest

2005-03-18 16:30 749 wuaucpl.cpl.manifest

2005-03-18 16:30 749 ncpa.cpl.manifest

7 fil(er) 4ÿ721 byte

1 katalog(er) 51ÿ651ÿ317ÿ760 byte ledigt

 

------------ Files Named "Guard" ---------------

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\System32

 

 

------ Temp Files in System32 Directory ------

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\System32

 

2001-09-28 15:00 2ÿ578 CONFIG.TMP

1 fil(er) 2ÿ578 byte

0 katalog(er) 51ÿ651ÿ313ÿ664 byte ledigt

 

------------------ User Agent ----------------

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"SV1"=""

 

 

------------- Keys Under Notify -------------

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00

"Logoff"="ChainWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00

"Logoff"="CryptnetWlxLogoffEvent"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

 

 

------------- Locate.com Results -------------

 

C:\WINDOWS\SYSTEM32 cdplay~1.man Fri 2005-03-18 16.30.46 A..HR 749 0,73 K

logonu~1.man Fri 2005-03-18 16.30.52 A..HR 488 0,48 K

ncpacp~1.man Fri 2005-03-18 16.30.46 A..HR 749 0,73 K

nwccpl~1.man Fri 2005-03-18 16.30.46 A..HR 749 0,73 K

sapicp~1.man Fri 2005-03-18 16.30.46 A..HR 749 0,73 K

window~1.man Fri 2005-03-18 16.30.52 A..HR 488 0,48 K

wuaucp~1.man Fri 2005-03-18 16.30.46 A..HR 749 0,73 K

 

7 items found: 7 files, 0 directories.

Total of file sizes: 4 721 bytes 4,61 K

 

-------- Strings.exe Qoologic Results --------

 

 

--------- Strings.exe Aspack Results ---------

 

C:\WINDOWS\system32\MRT.exe: (ASPack)

C:\WINDOWS\system32\MRT.exe: ASPack 1.61

C:\WINDOWS\system32\MRT.exe: ASPack 1.084

C:\WINDOWS\system32\MRT.exe: ASPack 1.083

C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b

C:\WINDOWS\system32\MRT.exe: ASPack 1.07b

C:\WINDOWS\system32\MRT.exe: ASPack 1.05b

C:\WINDOWS\system32\MRT.exe: ASPack 1.02

C:\WINDOWS\system32\MRT.exe: ASPACK

C:\WINDOWS\system32\ntdll.dll: .aspack

C:\WINDOWS\system32\trjscan.trb: .aspack

C:\WINDOWS\system32\trupd.trb: .aspack

C:\WINDOWS\system32\MRT.exe: (ASPack)

C:\WINDOWS\system32\MRT.exe: ASPack 1.61

C:\WINDOWS\system32\MRT.exe: ASPack 1.084

C:\WINDOWS\system32\MRT.exe: ASPack 1.083

C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b

C:\WINDOWS\system32\MRT.exe: ASPack 1.07b

C:\WINDOWS\system32\MRT.exe: ASPack 1.05b

C:\WINDOWS\system32\MRT.exe: ASPack 1.02

C:\WINDOWS\system32\MRT.exe: ASPACK

C:\WINDOWS\system32\ntdll.dll: .aspack

C:\WINDOWS\system32\trjscan.trb: .aspack

C:\WINDOWS\system32\trupd.trb: .aspack

 

-------------- HKLM Run Key ----------------

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="\"C:\\Program\\QuickTime\\qttask.exe\" -atboottime"

"LiveNote"="livenote.exe"

"SunJavaUpdateSched"="C:\\Program\\Java\\jre1.5.0_02\\bin\\jusched.exe"

"TkBellExe"="\"C:\\Program\\Delade filer\\Real\\Update_OB\\realsched.exe\" -osboot"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"AWMON"="\"C:\\Program\\Lavasoft\\AD-AWA~1\\Ad-Watch.exe\""

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"

"CTHelper"="CTHELPER.EXE"

"AVGCtrl"="C:\\Program\\AVPersonal\\AVGNT.EXE /min"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

 

[/log]

 

[inlägget ändrat 2005-05-18 11:05:46 av Erik Junesjö]

Link to comment
Share on other sites

Hm, var det rätt version jag gav dig?

Var inte loggen jag väntade mig.

 

Vi testar denna istället :/

 

Spara ner den till skrivbordet. Packa upp filen till en egen mapp som du skapat på skrivbordet (döp den til FindIt's). Ta bort den andra versionen av finditnt200xp

 

http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443

 

Öppna nu mappen FindIt's. Dubbelklicka på FindIt's.bat. Den vill nu scanna i några minuter, den producerar nu en log (Ignorera "File not found" meddelandet på skärmen, den fortsätter ändå). Då den är klar.

Kopiera och klistra in den loggen hit till din tråd.

 

Link to comment
Share on other sites

Snälla diGitahL, tala om för dem du hjälper att de ska använda LOG-funktionen. Alla andra får ju fnatt av att hålla på och skrolla förbi evighetslånga inlägg.

 

Pez:

När du har klistrat in loggen i svaret, så var snäll och markera hela loggen och tryck sedan på LOG-knappen alldeles ovanför svaret. Tack på förhand!

 

 

Link to comment
Share on other sites

Här är loggen, diGitahL:

 

[log]»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\SYSTEM32

 

»»»»» Checking for SAHAgent ico files.

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\system32

 

2004-02-10 08:35 7ÿ078 E-DSP.ICO

1 fil(er) 7ÿ078 byte

0 katalog(er) 51ÿ975ÿ614ÿ464 byte ledigt

 

»»»»»»»»»»»»»»»»»»»»»»»».

 

HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst

HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp

HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S

HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S

HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S

HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S

HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd

HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd

HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd

HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode

HKEY_CURRENT_USER\Software\aurora\AUP3D5om

HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn

HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots

HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync

HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab

HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx

HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest

HKEY_CURRENT_USER\Software\aurora\AUB3D5om

HKEY_CURRENT_USER\Software\aurora\AUE3v5nt

HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath

HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf

HKEY_CURRENT_USER\Software\aurora\AUL3n5Title

HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode

HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl

HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS

HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst

HKEY_CURRENT_USER\Software\aurora\AUL3a5stMotsSDay

HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin[/log]

 

 

Link to comment
Share on other sites

Hej, ledsen om jag inte svarar så supersnabbt men har vart lite upptagen den senaste tiden.

Cecilia: No problemo, händer inte igen.

 

Nu till Pez:

Är du säker på att det är hela loggen du fick med?

Denna borde väl vara längre :S

 

[log]Nåväl, vi fixsar detta först och så får du skicka hit en ny FindIt's logg.

 

Känner du väl till Windows Registret?

Gå till Start->Kör och skriv in regedit och klicka på OK. Gå till

Arkiv->Exportera och spara en backup av registret på ett bra ställe. Medans du nu är i Registret gå till följande "mappar" och följ instruktionerna:

 

Klicka på "pluset" brevid HKEY_CURRENT_USER, nu kommer fler dyka upp. Klicka nu på pluset brevid Software mappen, hitta nu "mappen" aurora, högerklicka på den och välj "Ta bort".

 

Rätt och slätt:

HKEY_CURRENT_USER\Software\aurora <== denna mapp ska bort.

 

Ladda ner KillBox

 

http://www.atribune.org/downloads/KillBox.exe

 

Öppna och bocka i Delete on Reboot

Sen kopiera filen nedan på en gång

 

C:\WINDOWS\SVCPROC.EXE

 

Sen i KillBoxen klicka File > Paste from Clipboard

Då ska du se att filer är i KillBoxen

Sen klicka på Delete (röd med vit X på)

Svara Ja på bägge frågor och om inte datorn startar om automatiskt så starta om den.

 

Skicka nu hit en ny FindIt's logg, kolla gärna att det är hela loggen du klistrar in.[/log]

[inlägget ändrat 2005-05-18 19:27:24 av diGitahL]

Link to comment
Share on other sites

Det blir inte längre än så här:

 

[log]

Microsoft Windows XP [Version 5.1.2600]

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Dont delete file's in the section without guidance

If any doubt back them up first

 

 

»»»»» lagitamate file's can/will show in this section.

 

* UPX! C:\WINDOWS\System32\VSFILTER.DLL

* UPX! C:\WINDOWS\DAEMON.DLL

»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

 

»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

 

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\SYSTEM32

 

»»»»» Checking for SAHAgent ico files.

Volymen i enhet C har ingen etikett.

Volymens serienummer „r 30B7-9181

 

Inneh†ll i katalogen C:\WINDOWS\system32

 

2004-02-10 08:35 7ÿ078 E-DSP.ICO

1 fil(er) 7ÿ078 byte

0 katalog(er) 51ÿ702ÿ505ÿ472 byte ledigt

 

»»»»»»»»»»»»»»»»»»»»»»»».

 

[/log]

 

Link to comment
Share on other sites

Sedär!

FindIt's loggen är totalren.

 

För att vara 100% ren från alla spyware/malware som kan finnas djupt dolda inom systemet rekommenderar jag att du scannar och använder dessa program:

 

[log]

Kör Ad-Aware

http://www.majorgeeks.com/download506.html

Efter installationen glöm inte att uppdatera! Tryck sen på start och välj "full system scan" och välj bort "search for negligible risk entries" Efter den är klar om den hittar något så välj "Scan summary" Och ta bort grupp för grupp. Ibland måste man starta om datan och scanna om för att få bort allt.

 

 

Spybot-Search & Destoy

http://www.download.com/Spybot-Search-Destroy/3000-8022-10289035.html?tag=list

Glöm inte att uppdatera!

Immunize systemet först och kör en scan och fixa det den hittar

 

Ladda ner Microsofts AntiSpyware beta härifrån:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

Update spyware databasen genom att klicka "Spyware Definitions"

Ladda ner updaten och starta om programet, låt den scanna och ta bort allt som har med spyware att göra

[/log]

 

Link to comment
Share on other sites

Ja, vad ska jag säga? :)

Får tacka så hemskt mycket för all hjälp. Det var ju riktigt knepigt att få bort trojaner, men det gick ju smidigt och bra med din hjälp.

 

 

Stort tack!

 

Link to comment
Share on other sites

Anjuna Moon

Sluta nu MSN:a och lita på brandvägg i fortsättningen =) Alltför många av dessa problem är relaterade till MSN. ICQ är namnet på kommunikation.

 

Link to comment
Share on other sites

Hehe :-)

 

Jag kör då MSN utan problem, men så har jag heller aldrig rört nån klient från MS. Trillian fixar MSN galant, fast inte alla finesser.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...