Just nu i M3-nätverket
Jump to content

Trojan


Metalmaid

Recommended Posts

Körde min veckoliga viruskoll igår och hittade två suspekta filer som tydligen är Adwarerelaterat.

 

Norton hittar dom men kan inte ta bort dom, AdAware och Spybot hittar dom inte överhuvudtaget och HiJack visar inga pågående processer.

 

Skickade således upp dom till Jottis Online Malware Scan och tydligen är det någon trojan som heter Backdoor.Win32.Bifrose.d.

 

Filerna ligger dolda...

C:\Program\Cashback\bin\cashback.exe i

C:\Windows\system32\psis80ex.ax

C:\Program\NaviSearch\bin\nls.exe i

C:\Windows\system32\javex80.vxd

 

Något förslag någon?

 

Kan man stänga av systemåterställningen och manuellt deleta dom, eller vad?

 

[inlägget ändrat 2004-12-04 16:10:39 av Metalmaid]

Link to comment
Share on other sites

Okej, loggen kommer här.

 

Logfile of HijackThis v1.98.2

Scan saved at 17:01:22, on 2004-12-04

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\qttask.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Nikon\NkView6\NkvMon.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\SpywareGuard\sgmain.exe

C:\Program\SpywareGuard\sgbhp.exe

C:\WINDOWS\System32\svchost.exe

C:\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\TSC.EXE

C:\Program\Messenger\msmsgs.exe

C:\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Program\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: SpywareGuard.lnk = C:\Program\SpywareGuard\sgmain.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program\Nikon\NkView6\NkvMon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O12 - Plugin for .pdf: C:\Program\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15007/CTSUEng.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098431504915

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab

 

 

 

 

Link to comment
Share on other sites

Norton hittar två riskfiler som ligger dolda...

 

C:\Program\Cashback\bin\cashback.exe (i C:\Windows\system32\psis80ex.ax)

C:\Program\NaviSearch\bin\nls.exe

(i C:\Windows\system32\javex80.vxd)

 

Som sagt vid onlinescanning hos Jotti gav endast Kaspersky resultat och svaret att det var filer infekterade med Backdoor.Win32.Bifrose.d

 

 

 

 

Link to comment
Share on other sites

Avinstallera via Kontrollpanelen om det finns

 

Cashback

NaviSearch

 

 

Starta i felsäkert läge sök och ta bort

 

C:\Program\Cashback\bin\cashback.exe

- ta bort Cashback mappen

 

C:\Program\NaviSearch\bin\nls.exe

- ta bort NaviSearch mappen

 

och

 

psis80ex.ax

javex80.vxd

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...