Just nu i M3-nätverket
Gå till innehåll

Trojan


Metalmaid

Rekommendera Poster

Körde min veckoliga viruskoll igår och hittade två suspekta filer som tydligen är Adwarerelaterat.

 

Norton hittar dom men kan inte ta bort dom, AdAware och Spybot hittar dom inte överhuvudtaget och HiJack visar inga pågående processer.

 

Skickade således upp dom till Jottis Online Malware Scan och tydligen är det någon trojan som heter Backdoor.Win32.Bifrose.d.

 

Filerna ligger dolda...

C:\Program\Cashback\bin\cashback.exe i

C:\Windows\system32\psis80ex.ax

C:\Program\NaviSearch\bin\nls.exe i

C:\Windows\system32\javex80.vxd

 

Något förslag någon?

 

Kan man stänga av systemåterställningen och manuellt deleta dom, eller vad?

 

[inlägget ändrat 2004-12-04 16:10:39 av Metalmaid]

Länk till kommentar
Dela på andra webbplatser

Okej, loggen kommer här.

 

Logfile of HijackThis v1.98.2

Scan saved at 17:01:22, on 2004-12-04

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\qttask.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Nikon\NkView6\NkvMon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\WINDOWS\System32\svchost.exe

C:\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\TSC.EXE

C:\Program\Messenger\msmsgs.exe

C:\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Program\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program\Nikon\NkView6\NkvMon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O12 - Plugin for .pdf: C:\Program\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098431504915

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab

 

 

 

 

Länk till kommentar
Dela på andra webbplatser

Norton hittar två riskfiler som ligger dolda...

 

C:\Program\Cashback\bin\cashback.exe (i C:\Windows\system32\psis80ex.ax)

C:\Program\NaviSearch\bin\nls.exe

(i C:\Windows\system32\javex80.vxd)

 

Som sagt vid onlinescanning hos Jotti gav endast Kaspersky resultat och svaret att det var filer infekterade med Backdoor.Win32.Bifrose.d

 

 

 

 

Länk till kommentar
Dela på andra webbplatser

Avinstallera via Kontrollpanelen om det finns

 

Cashback

NaviSearch

 

 

Starta i felsäkert läge sök och ta bort

 

C:\Program\Cashback\bin\cashback.exe

- ta bort Cashback mappen

 

C:\Program\NaviSearch\bin\nls.exe

- ta bort NaviSearch mappen

 

och

 

psis80ex.ax

javex80.vxd

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...