Just nu i M3-nätverket
Jump to content

Är min dator säker??


Guest idgadmin

Recommended Posts

Guest idgadmin

Hej jag undrar om någon skulle vilja titta på mon Hijack This Logfil och se ifall min datro har en trojan eller liknande:

 

Logfile of HijackThis v1.97.7

Scan saved at 18:46:26, on 2004-02-28

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\nvsvc32.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\Program\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe

C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Program\Winamp\winampa.exe

C:\WINNT\system32\internat.exe

C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

C:\Program\WinZip\WZQKPICK.EXE

C:\WINNT\system32\rundll32.exe

C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\user\Mina dokument\Mina Mottagna Filer\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CreateCD50] "C:\Program\Delade filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Port för Symantec Fax Starter Edition.lnk = C:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Program\Zone Labs\ZoneAlarm\zonealarm.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.1200231481

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Hej!

 

Jag är inte så hemma på detta men du ska i vilket fall som helst ta bort TOOLBAR! Detta innehåller Spyware!

 

Sen så kan du ju efter att du har tagit bort det scanna med tex Ad-Awere o Spy-Bot!

 

Helren

_______________________________________________________________________________

XP Professional

AMD Athlon Barton 2,0 Ghz, Maxtor 120Gb + Seagate 80Gb , 1,00Gb Ram,Radeon 9600 256Mb

SP1 På båda!

PII 233Mhz,192Mb Ram,GF TNT 16Mb,5Gb SCSI+1,5Gb

 

[inlägget ändrat 2004-02-28 19:26:17 av Helren]

Link to comment
Share on other sites

Hej!

 

Ursäkta mej!! FEL AV MEJ toolbar är nog säkert!

 

Helren

_______________________________________________________________________________

XP Professional

AMD Athlon Barton 2,0 Ghz, Maxtor 120Gb + Seagate 80Gb , 1,00Gb Ram,Radeon 9600 256Mb

SP1 På båda!

PII 233Mhz,192Mb Ram,GF TNT 16Mb,5Gb SCSI+1,5Gb

 

Link to comment
Share on other sites

Ribbon_ , hej :-))

 

Stäng alla öppna program samt IE, kör HJT och bocka för dessa detaljer,klicka sedan "fix checked" :

 

[FET]O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

O4 - HKLM\..\RunServices: [Registration Service] msvdm6.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent[/FET]

 

Starta sedan om datorn, helst i felsäkert läge (tryck F8 upprepat vid uppstart) och om du ville ta bort och lägga "msvdm6.exe" i en temp-mapp.Starta sedan om till normalt läge och om du ville göra besväret att skicka den till oss med vårt uppladdningsverktyg här: http://www.lavahelp.com/submit/index.html

Klicka på "Bläddra" och navigera till Temp-mappen du lade filen i.

 

Du borde hitta filen i "C:\WINNT\Systen32" Öppna "Start>Kör" och knappa in "Explorer>ok" och navigera till filen.

Dubbelklicka inte på den ,bara.

 

Trojanen heter "SDBOT-HE" enligt Sophos definition.

 

Hälsning

 

Björn

Die Hard

Moderator/XpertTeam

http://www.lavasoftsupport.com

 

 

 

 

 

 

Link to comment
Share on other sites

Ribbon_ :-))

 

Låt inte så panikslagen :-))

Steam och CS kommer att fortsätta fungera. Vad du gör genom att "fixa" den, är bara att ta bort den från "start" i registret.Programmet självt är intakt.

 

Du får starta Steam manuellt när du ska använda det. Men det är väl så man gör med program ?

Jag har väl ca 80-100 program installerade och nästan alla vill starta med Windows och/eller köras i bakgrunden konstant.Om jag skulle tillåta det, skulle datorn inte orka arbeta.

 

Jag har bl.a. Steam, som jag bockat bort med HiJack This, av den anledningen.

 

hälsning

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Okej det är du somn är expert :D

Men jag hittar inte den dumma msvdm6.exe.har sökt med alla tänkbara verktyg!!

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :-)

 

Gör så här:

Öppna "Start>Kör" och skriv "Explorer",utan citationstecken, klicka "OK". Navigera sedan till "C:\WINNT\" och klicka på den.I högra fönstret finns blå text som säger "visa filer" , klicka .

Sedan öppna "System32"-mappen och titta efter "msvdm6.exe".

 

Hittar du den inte, gå då till verktygsfältet och klicka på "Verktyg>MappAlternativ" och under "visa" klicka "visa dolda filer och mappar>ok"

Hittar du den inte i alla fall, gå tillbaka till "WINNT"-mappen och gör samma sak där.

 

Hälsning

 

Die Hard

 

 

 

Link to comment
Share on other sites

Hej Die Hard!

 

En liten stilla undran:

 

Ligger inte "msvdm6.exe" i "Windows systemmapp"?

 

Varför jag undrar är det att jag hittade den här informationen.

Länk:

http://www.sophos.com/virusinfo/analyses/trojsdbothe.html

 

Nu skall jag inte störa er mer i erat arbete.

 

Hälsningar: Malou

 

 

***** Ha En Fortsatt Underbar Dag *****

 

***** Ingen Fråga Är För Dum *****

 

Hellre fråga en gång för mycket, än inte fråga alls

 

 

 

 

 

 

 

Link to comment
Share on other sites

Malou :-)

 

Naturligtvis har du rätt :)

 

Ribbon_

 

Det är alltså här du ska hitta filen: "C:\WINNT\system\"

 

Die Hard

 

 

Link to comment
Share on other sites

Die Hard :-)

 

Tack

 

Hälsningar: Malou

***** Ha En Fortsatt Underbar Dag *****

 

***** Ingen Fråga Är För Dum *****

 

Hellre fråga en gång för mycket, än inte fråga alls

 

 

 

 

 

 

 

Link to comment
Share on other sites

Ribbon_ ;-)

 

Ok, då är det lugnt :-)

 

Då såg HJT registernyckeln utan att filen finns.Den har funnits ialla fall.

Kanske AV:et tagit den .

 

Surfa säkert :-))

 

Björn

 

 

Link to comment
Share on other sites

Guest idgadmin

Troj/Sdbot-HE

Aliases

Backdoor.IRCBot.gen

 

Type

Trojan

 

Detection

A virus identity (IDE) file which provides protection is available now from the Latest virus identities section, and will be incorporated into the April 2004 (3.80) release of Sophos Anti-Virus.

 

 

Enterprise Manager and PureMessage customers will be automatically protected at their next scheduled update.

 

At the time of writing, Sophos has received just one report of this Trojan from the wild.

 

 

Description

Troj/Sdbot-HE is a backdoor Trojan which runs in the background as a service process and allows unauthorised remote access to the computer via IRC channels.

The Trojan copies itself to the Windows system folder as MSVDM6.EXE and creates entries in the registry at the following locations to run itself on system restart:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Registration Service

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesRegistration Service

 

The Trojan remains resident, listening for commands from remote users. If it receives the appropriate command the Trojan attempts to copy itself to remote network shares with weak passwords.

 

 

Recovery

Please follow the instructions for removing Trojans.

 

Check your administrator passwords and review network security.

 

You will also need to edit the following registry entries, if they are present. Please read the warning about editing the registry.

 

At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.

 

Before you edit the registry, you should make a backup. On the 'Registry' menu, click 'Export Registry File'. In the 'Export range' panel, click 'All', then save your registry as Backup.

 

Locate the HKEY_LOCAL_MACHINE entries:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Registration Service

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesRegistration Service

 

and remove any reference to any file you deleted.

 

Close the registry editor.

 

så står det på sophos hemsida. Men försvinner trojanen då?Hur tar man backup?

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_

 

Det som står där har vi redan gjort.

Det är det geniala med HJT.

Så här står det i HJT-loggen:

O4 - HKLM\..\Run: [Registration Service] msvdm6.exe

 

Här har du enligt Sophos nyckeln som ska tas bort:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Registration Service

 

Det är samma sak , fastän HJT-loggen visar den i kortare version.

 

Och den tog vi bort.......om du gjorde som jag instruerade, vill säga :-))

 

Die Hard

 

 

 

Link to comment
Share on other sites

Guest idgadmin

okej så då är trojanen borta?

Men hur kunde jag få den förresten?

Alla jag laddade ner var msn6.0,ad aware,hijack this,två cs maps och lite musik från dc++....

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :-))

 

Det är det som är problemet med virus och trojaner, man är aldrig riktigt säker på var man får dom. Och dom är förhållandevis små, så det är gjort på en bråkdels sekund att smita in i systemet.

 

Vad du kan göra är att gå hit och hämta "SpywareBlaster". En applikation som hindrar alla parasiter från att installeras.

 

http://www.javacoolsoftware.com/spywareblaster.html

 

Det är samma med den som med AdAware, glöm inte att uppdatera referensfilen.

 

Hälsning

 

Die Hard

 

 

 

Link to comment
Share on other sites

Guest idgadmin

Okej då gör jag det.

Tack så jätte mycket Die Hard du har varit till stor hjälp.Jag hör av mig om det är något mera problem.

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :-)

 

Bara glad att hjälpa till, kom gärna tillbaka om det är något annat :-))

 

Die Hard

 

 

Link to comment
Share on other sites

Guest idgadmin

Jo visst ja en sak.DC++.Finns det virus i det.Om,är det mer eller mindre än i kazaa?

 

 

Adrenaline-Sennheiser

 

Link to comment
Share on other sites

Ribbon_ :-)

 

Ärligt talat så vet jag inte.

 

Försök fråga i en annan del av forumet som behandlar frågor mer i detta ämne.

 

hälsning

 

Die Hard

 

 

Link to comment
Share on other sites

Ribbon_ :-)

 

Jag kan tillägga att med den erfarenhet jag har av Kazaa och vad den drar med sig in i systemen, så verkar vad som helst annat vara bättre ur "renlighetssynpunkt".

 

Det programmet du frågar om , vet jag ingenting om. Jag har själv ,från och till, använt eDonkey, men den är inte "ren" heller.

Man måste se till att välja bort annonsprogrammet vid installationen. Många program har den möjligheten, det är något att tänka på. Att inte bara rutinmässigt klicka "agree" vid installationer , utan läsa vad som står i EULAn .

 

hälsningar

 

Die Hard

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...