Just nu i M3-nätverket
Jump to content

Trojan!!!


Guest idgadmin

Recommended Posts

Guest idgadmin

Hej jag fick för två dagar sen ett meddelande från mitt dagliga uppdaterad Panda Titanium.Det sa att jag hade en trojan med namnet Bck/IRCbot.s

Det sa sedan att filen var desinfekterad.Men sedan så kom det mer och mre varningar om samma fil(tror ugefär 6 ggr).Det verkar även som det har stängt av min brandvägg i panda.så jag installerade en annan brandvägg.Zonealarm.Efter dett har jag inte fått några nya varningar.Men är trojanen kvar.Varför klarar inte panda av den,hur får jag bort den?Trots att jag sätter på branväggen så stäng den av hela tiden!Hjälp behöver verkligen hjälp!

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_

 

Ladda ner AdAware6 181 från http://lavasoft.element5.com/swedish/support/download/

 

När du har installerat AdAware,uppdatera ref-filen med "webupdate" som finns på program panelen.Detta är viktigt att du gör.

 

Gå sedan hit för info om hur du ställer in programmet för bästa resultat:

http://www.lavasoftsupport.com/index.php?showtopic=14136

 

Jag föreslår också att du laddar ner HiJack This från denna plats: http://www.merijn.org/downloads.html

 

Den kommer som en zip-fil,det är bara att dubbelklicka och trycka "scan". Då kommer en log-fil upp,spara den och kopiera den hit så får du hjälp att tolka den. "Fixa" ingenting,då det mesta som finns där är nödvändiga komponenter för ditt system.

 

Die Hard

 

 

 

 

[inlägget ändrat 2004-02-16 12:17:07 av Die Hard]

Link to comment
Share on other sites

Ribbon_

 

Se först till att ditt system är rent, en del av dessa trojaner, hijackers och annat sk*t är programmerade att stänga av brandväggar , antivirus, rensningsprogram. En del stoppar också öppnandet av plateser där dessa program finns att ladda ner.

 

Men som sagt, rensa och se till att ditt system inte innehåller skräp först.

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Men vad ska jag rensa bort?Jag har tagit bort alla mina nerladdade filer och efter det så har jag inte fått någon varning om trojan.Men brändväggen är fortfarande skum.

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

När du kör Ad-Aware kan du ta bort allt det som hittas.

Glöm inte uppdateringen först, så hittas kanske mer...

 

Vad det gäller HiJack This, så kör programmet, spara loggen och kopiera in den här.

 

Tag inte bort något med en gång.

De mesta som hittas där tillhör systemet, och tar du bort det får du problem.

 

När vi har kollat igenom loggen talar vi om vad du bör ta bort.

 

Det finns ingen personlig info i filen.

 

 

Link to comment
Share on other sites

Guest idgadmin

Logfile of HijackThis v1.97.7

Scan saved at 13:29:06, on 2004-02-16

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\Program\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program\Winamp3\winampa.exe

C:\WINNT\system32\internat.exe

C:\program\steam\steam.exe

C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

C:\Program\WinZip\WZQKPICK.EXE

C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\program\steam\steamapps\essy__@hotmail.com\counter-strike\hl.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\user\Mina dokument\Mina Mottagna Filer\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CreateCD50] "C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.1200231481

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

så...

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :-))

 

Stäng alla öppna program samt Internet Explorer, kör HiJack This och sätt en bock bredvid dessa detaljer.

Här har du din lilla otäcking :

[FET]O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe[/FET]

 

Starta sedan om i felsäkert läge (tryck F8 vid uppstart) och ta bort och om du ville lägga i en temp-fil och skicka denna fil till oss : msvdm6.exe

via uppladdningsverktyget här : http://www.lavahelp.com/submit/index.html

(Använd "Start>Sök" och vid avancerade alternativ aktivera "sök i dolda filer" samt "sök i systemmappar" för att lokalisera filen)

 

Kasta sedan filen och töm papperskorgen.

 

För att ställa in ZA, rekommenderar jag att du går till Markus Jansson , bästa webplatesen när det gäller ZA : http://www.markusjansson.net/eza.html

 

Hälsning

 

Die Hard

 

 

 

 

 

 

Link to comment
Share on other sites

Guest idgadmin

Nu blev det knas.Jag går in på länken du nämde.Men hittar inget om avancerade altenativ.Jag har win2000 proffesional.

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_

 

Att du "fixar" med HJT, gör inte att filen raderas. Den bara avregistrerar den, filen ligger kvar.

 

Jag är så van vid mitt XP,

Gör så här i Win2K:

 

Klicka

1 "Start>Sök"

2 "Filer och mappar"

3 "Avancerade alternativ"

4 "Sök nu"

 

Die Hard

 

 

 

Link to comment
Share on other sites

Guest idgadmin

Nu är det läskigt.filen som var smittad från början av trojanen(GT.exe)Försökte ansluta sig till internet.Zonealarm varnade och jag lät den inte komma igenom.Men det konstiga är att vid varningsmeddelandet så stod det att GT.exe låg i C.Men denna gt.exe ligger i system32 mappen.Jag scannade den flera gånger med panda men det upptäckte inget.Jag försökte ta bort den men det stod att källfilen används eventuellt redan.

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_

 

Kopiera hit en ny logfil från HiJack This, det kan vara en av dessa rackare som byter namn när dom startar om.

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Logfile of HijackThis v1.97.7

Scan saved at 21:56:30, on 2004-02-16

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\Program\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program\Winamp3\winampa.exe

C:\WINNT\system32\internat.exe

C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

C:\Program\WinZip\WZQKPICK.EXE

C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINNT\system32\GT.exe

C:\Documents and Settings\user\Mina dokument\Mina Mottagna Filer\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CreateCD50] "C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.1200231481

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Guest idgadmin

Förresten!När jag höll på och virrade i felsäkert läge så blev upplösningen och färgerna jättekonstiga.Sedan tog det jätte lång tid för windows att komma igång.

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :)

 

Färgerna och upplösningen blir annorlunda eftersom man bara kör baskonfigurationerna av systemet, ditt grafikkort är t.ex. inte ikopplat av Windows.

 

Återkommer om en stund när jag tittat på HJT-loggen :))

 

Die Hard

 

Link to comment
Share on other sites

Ribbon_

 

För att avsluta processen tror jag det är enklast om du laddar ner ProcessExplorer härifrån:

http://www.sysinternals.com/files/procexpnt.zip

 

Öppna programmet och rulla tills du hittar "GT.exe" och avsluta den processen.

 

Kör också HJT, sätt en bock bredvid dessa igen, klicka sedan "fix checked":

O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe

 

Navigera sedan till

C:\WINNT\system32\GT.exe i felsäkert läge och pilla bort den här filen och lägg den i en temp-mapp.

 

Titta också igen om du kan hitta "msvdm6.exe"

 

Die Hard

 

 

 

 

 

Link to comment
Share on other sites

Ribbon_ :)

 

Om du öppnar "C:\" och klickar uppe i vänstra hörnet på "Arkiv>Nytt>Mapp" så har du en "ny mapp" .Högerklicka på den och döp om den till "Temporär" och så har du en "Temp-mapp" . Vitsen med denna är att du ska kunna lägga skräpet i den och sedan kasta mappen med hela innhållet i papperskorgen.

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Jag pillade bort GT.exe men hittade ingenting som hette msmsvd6.exe eller vad det var du pratade om.Brandväggen är fortfarande avaktiverad!

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...