Hjælp Trojanhorse

Eftesom det er Temporary Internet files så kan du jo bare slette hele indholdet af mappen!
Desuden HAR Panda sikkert forhindret i at blve installeret, men kan bare ikke slette den.. (?)

som xirb siger, slet alt i mappen C:\Document and Settings\Home\Lokale indstillinger\Temporary Internet Files\Content.IE5. Der ligger nok en fil som hedder index.dat som ikke kan slettes, den lader du bare leve.

Der findes også et program der hedder Anti-trojan. det kan du prøve i 30 dage. Det fandt nogle trojaner på min maskine, finder lige et link

http://www.anti-trojan.net/en/

http://www.anti-trojan.net/en/download.aspx

Jeg har prøvet at slette Temporary Internetfiles, men Panda komme op og siger at det ikke har kunne fjerne filen enter fordi der er i brug eller skrive beskyttet.// Anti-trojan er prøvet uden held desværre. Jeg har prøvet at være i registeringsdatabasen efter anvisning hentet hos Trend Micro men jeg har ikke kunne finde pågældende filnavn.

prøv i fejlsikret tilstand

du kan også se, om du har en proces 242656.exe kørende, og slå den fra inden du prøver at slette filen.

du kan også prøve det her program
http://www.cyberscrub.com/
det genstarter computeren, hvis der er nogle temprary filer det ikke kan slette. Den tømmer også index.dat.

Jeg har ikke en proces kørende ved det navn, så jeg prøver cybercrub

Det skal gøres i fejlsikker tilstand, eller endnu bedre fra DOS hvis du har den mulighed.
Det afhænger af hvilket styresystem du har.

HUSK du skal have slået systemgendannelse fra mens du fjerner virus fra din computer eller bliver virus gendannet ved næste opstart.

Her ligger der rigtig mange værktøjer som er gode at have installeret i bekæmpelsen af virus og spyware. http://www.spywarefri.dk/vaerktoj.htm

Hvordan går det. Har du fået installeret nogle af de værktøjer som du har fået linket til. BhoDemon skulle kunne fjerne din browser plugin. Derudover kan jeg anbefale dig at installere IE-Syad og Hijack Blaster.

går det bedre nu, ellers kan vi nok finde flere links til værktøjer

Det går desværre ikke bedre, jeg prøver nu at hente BhoDemon, men jeg har kun fundet den i en freeware udgave som køre 9X-2k-NT, og jeg bruger XP-Home men jeg prøver alligevel.
Jeg vil gerne finde en måde at komme til at fjerne plugin'en manuelt, men jeg kan ikke finde placeringen eller hvordan man kommer ind til den.(Content.IE5\Browser_Plugin [1].Cab[242656.exe]. Jeg har prøvet at fjerne skrivebeskyttelsen på mappen Temprary Internet Files + underliggende filer og mapper, men så kommer Panda Antivirus op og fortæller at filen med problemet ikke giver lov til det. Jeg ved ikke om det er muligt Men !!!!!!!!!!!

Prøv du også bare at installere HiJackThis som også skulle kunne fjerne browser plugins.

Det link til BhoDemon som er på spywarefri's hjemmeside har jeg hentet til min XP-home og den kører udmærket. Der står da også: Windows95 or later, så jeg ved ikke hvorfra du har det med at den ikke er til XP-home.
HiJackThis som aovergaard henviser til er ideelt hvis du vil fjerne pluin manuelt. Programmet og dansk vejledning finder du også hos Spywarefri.dk

BhoDemon kunne ikke hjælpe, men det fandt et par andre ting. Jeg prøver HijacktThis.

God idé med HijackThis. Den er svær, men den vil også løse dit problem. Ingen tvivl. Du kan komme med din log her hvis du er i tvivl om nogle af de listede ting, så kan jeg hjælpe dig. Pas på ikke at fixe noget som ikke skal fixes så er det bedre at komme med loggen her. Både aovergaard og jeg er vant til at kigge på logs fra HijackThis.

peter1234> Hvordan ser det så ud?

Hej aovergård og perhaps.
Jeg vil gerne have hjælp til at tolke loggen fra HijackThis.
Der er ikke noget som jeg umiddelbart syntes at der er mistænkeligt

Logfile of HijackThis v1.93.0
Scan saved at 22:05:30, on 04-05-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Tiscali A/S - Microsoft Internet Explorer
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Programmer\Fælles filer\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Agent] C:\Programmer\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [CapFax] C:\Programmer\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programmer\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [STOPzilla] C:\Programmer\STOPzilla!\Stopzilla.exe /autorun
O4 - HKLM\..\Run: [/autorun] C:\Programmer\STOPzilla!\/autorun.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Stone's ConnectControl] C:\Programmer\ConnectControl\ConnCtrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.5\THGuard.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download a&lt med ReGet Deluxe - C:\Programmer\Fælles filer\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download med Re&Get Deluxe - C:\Programmer\Fælles filer\ReGet Shared\CC_Link.htm
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/danmark/TemplateGallery/msotd.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003042101/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37698.4727893519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Og det har du fuldstændig ret i. Alt hvad der ligger her er fuldstændig legalt, så vidt jeg kan se. Der ligger ikke noget mistænkeligt her.

Hvis du så prøver at gå ud og hente den nye scanner som vi har testet på spywarefri (http://www.spywarefri.dk/vaerktoj.htm#02.05.2003) så vil den fortælle dig at denne skal fjernes:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Det kan være at den måske også finder noget mere.

Syntes faktisk at du skal prøve den scanner, den finder mere end man lige umiddelbart tror, så det kan jo være at den kan finde den trojanske hest som gemmer sig godt og grundigt. Du nøjes bare med at hente scanneren hjem - den som ligger i nederste venstre hjørne, vælger du at prøve i 90 dage, skal du betale med det samme, men har 90dg. returret. Den fjerner intet, men du får en liste hvor du kan se hvor det ligger henne, og kan så efterfølgende gå i regedit og fjerne det. ----Hvis du altså tør.

Fik lige en idé hvis intet andet virker.

Åbn Notesbook
Filer
Åbn
Find filen
Se om du indimellem alle tallene kan tyde en URL adresse. Kan du det???? Hvis så kan vi fjerne den via klasseficeret zone. Vend lige tilbage med en evt. URL Der står sikkert ikke http://www. men resten kan du måske finde.

Kigger lige på loggen iaften, da jeg er på job nu.

Disse kender jeg og er garanteret ok:
06849E9F-C8D7-4D59-B87D-784B7D6BE0B3
16664845-0E00-11D2-8059-000000000000
E3215F20-3212-11D6-9F8B-00D0B743919D
8E718888-423F-11D2-876E-00A0C9082467

Denne kender jeg ikke:
8E718888-423F-11D2-876E-00A0C9082467

Vender tilbage iaften.

Selv om jeg skriver at jeg ikke kender den sidste kan den udmærket være ok. Må undersøge mere iaften.

perhaps-> Du skriver at du er helt sikker på
8E718888-423F-11D2-876E-00A0C9082467 sidste linje under garanteret

Du skriver samme nr. du ikke kender?

tak aovergaard, min fejl. Den sidste under garanteret ok skal fjernes. Det er den jeg ikke kender.

8E718888-423F-11D2-876E-00A0C9082467 er ok.

Har nu alligevel brugt middagspausen til at kigge på loggen. Der er IKKE noget mistænkeligt i den.

Der hvor der står C:\Programmer.... osv kan du nemt selv lige tjekke om det er noget du kender/ikke kender. De fleste er ok, men der er for mig nogle ukendte programmer iblandt og det vil der altid være for en som mig der ikke ved hvad du har downloadet. Hvis du vil ha' mere oplysninger om de nøgler jeg henviser til kl. 08.13.39 så sig til, men de er altså garanteret ok som jeg skriver. Men som sagt en log uden mistænktsomt materiale.

Jeg har prøvet programmet Aluria og det fandt følgende:

HKEY_CLASSES_ROOT\AcrolHelper.AcrolEHlpr0bj
HKEY_LOCAL_MACHINE\sofware\classes\AcrolHelper.AcrolEHlpr0bj
HKEY_CLASSES_ROOT\AcrolHelper.AcrolEHlpr0bj.1
HKEY_LOCAL_MACHINE\sofware\classes\AcrolHelper.AcrolEHlpr0bj.1

Kan dette fjernes i registreringsdatabasen uden problemer ?.
Aluria gav ingen vejledning.

Det er ikke sikket at det har noget at gøre med det oprindelige problem da jeg har været så uforsigtig at installere programmet "HotBar" og det resulterede i 70 stk spyware og lign. Lad dette være en advarsel mod programmet "HotBar"

Acrohelper er fra Acrobatreader, det vil sige programmet der gør det muligt at læse .PDF filer.
Så det skal du ike fjerne.( Perhaps sig til hvis jeg tager fejl )

Fromsej har ret i at det er fra Acrobatreader, men der sker intet ved at fjerne filerne Acrobatreader virker alligevel.

Acro er et lille firma som leverer spy og derfor finder Aluria dem. Jeg har slette mine og programmet AcrobatReader virker alligevel.

Hvis du vælger at fjerne dem kan du gøre det i registreringsdatabasen. Aluria giver ingen forklaring før man køber programmet, men du kan jo se hele stien og derved let finde og slette dem.

Nu må du endelige ikke forstå det sådan at AcrobatReader og Acro er samme firma, det er det IKKE.

Som du kan se fandt den lige præcis den fil som jeg omtalte 04/05-2003 23:52:49 Men hvordan går det ellers. Er du ved at være renset helt ud?

Om Hotbar, læs her:  http://www.spywarefri.dk/specialvark.htm#Hotbar

aovergaard og fromsej har ret i at disse AcrolHelper er fra AcrobatReader, men som aovergaard også siger så skulle der intet ske ved at fjerne dem. Og så er det også ganske rigtig som aovergaard siger at der findes et mindre firma som leverer spy til andre programmer og som hedder Acro, så jeg er ikke uenig med jer.

Vedr. Acro så prøv at skrive: Acro spyware
i Google

Jeg lader Acro være da jeg har dårlig erfaring med pille i registeringsbasen og ellers er der ved at være renset ud, men panda finder stadig Small.j.

Der er måske ikke andre muligheder end at starte på en frisk, men så få jeg da ryttet op.

Du får tit oz en bedre maskine udaf det. :-)

Har ikke lige gennemlæst alle de tråde der er. Men havde et problem med jeg ikke kune smide min trojaner ud. Jeg fandt udaf hvor den var. Genstartede pc'en og gik ind hvor den lå derefter kunne jeg smide lortet ud :))

Held og lykke til


Lrd

Du slår systemgendannelse fra når du scanner ik'sandt? Det skal du i hvert fald når du har en trojan/virus.

Ups, jeg fik rodet i registeringsdatabasen alligevel og det gik galt, så nu er jeg tilbage med en frisk installation.
Jeg vil gerne takke aovergård, perhaps og alle andre der har hjulpet med at løse problemet.

Mvh Peter1234

Takker for point:) Surt det gik galt i regedit - men altid dejligt med en frisk installation;)