ZA finder noget

Du kunne prøve at downloade Ad aware fra www.lavasoftusa.com. den installeres, updates og scanner dut system, den kan fjerne den slags og meget mere

Har Ad-Aware og kørt den mange gange.... Den finder intet

kender du siden www.spywarefri.dk
der finder du mange spændende og gratis programmer, og der er en dansk kommentar til alle sammen. jeg ville nok starte med at prøve en onlinescanning for virus fx housecall, en for trojanere og siden lidt forskellige programer. Du har helt sikkert et eller andet inde som kan gendanne sig selv. Slå derfor systemgendannelsen fra inden du scanner. tøm dinne coockis og din temp internetfiles og gå så igang med en hovedrengøring af din maskine.
når du er færdig med det installerer du den "pakke" der nævnes her
http://www.eksperten.dk/spm/363257
plus et fast antivirusprogram, fx avg som jeg selv(ikke dokumenteret)synes er godt

Gå ind på den side C-Holst foreslår, gå til værktøj, hent programmet HiJackThis, kør det, læg logfilen herind, så kigger vi på den.

Dette likner da megamye på en trojan eller noe slikt. Dette med at det dukker opp nye programmer med nye navn som vil på nett det må vel etter all sansynligvis si at du har noe lite gunstig software installert (!?)

Klarer du å fikse det, så ok. Hvis ikke så ville jeg vurdert å formatere opp HD og installere det hele på nytt.

Dette eksemplet viser jo ellers at det kan være veldig bra å kjøre Zone alarm eller noe liknende personal firewall program på arbeidsstasjonene.

Enig med fromsej. Du skal installere HiJack This. Du er højst sandsynligt overtaget af en udefra kommende person. Når du efter installation kører programmet, kan du gemme en logfil og denne logfil skal du så kopiere herind.

Når din pc er frik igen, vil jeg råde dig til at installere programmet Browser Hijack Blaster, som så sørger for at dette ikke sker igen.

Hijacket kan den jo ikke være ettersom ZA er oppe og kjører slik at den stanser det uansett.

Kom på en ting med XP (Hvis det er XP). Man kan jo restore tilbake til en annen dato og da vil man vel i det minste fjerne aktiviseringen av denne trojan eller hva det nå er. En trojan installeres vel som et annet program og da skulle vel restore funksjonen virke i forhold til denne også ??

Den evt. trojanske hest kan findes og fjernes med HiJackThis.

Selvom man har firewall, er der store chancer for at få trojanere med ned hvis man henter nogele af alle de små free prg. som ligger rundt omkring, firewall reagere ikke på det, da man jo selv har bedt om programmet. Man kan faktisk også få utøj bare ved at være på den forkerte hjemmeside.

Med hensyn til at gendanne fra tidligere tidspunkt, så er jeg faktisk ikke helt sikker på om dette også kan nakke en trojaner, så der er også jeg lidt ude, men der er da store chancer for at det vil kunne lykkedes, og derfor et forsøg værd.

En trojaner er jo et program som på en eller annen måte har blitt installert, for eksempel i forbindelse med programmer man har lastet ned fra internett. Jeg vil tro at dersom du gjendanner til et tidligere tidspunkt så sletter man kanskje ikke trojaneren, men man vil kanskje klare å avinstallere den som aktivt program ??

Er ikke sikker men er det denne her log i mener?

StartupList report, 11-06-2003, 22:06:23
StartupList version: 1.52
Started from : C:\Documents and Settings\Mads Østergaard\Skrivebord\HijackThis.EXE
Detected: Windows 2000 SP3 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\DOCUME~1\MADSST~1\APPLIC~1\tlyhllqp.exe
C:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
C:\DOCUME~1\MADSST~1\LOKALE~1\Temp\Gvc1.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mads Østergaard\Skrivebord\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menuen Start\Programmer\Start]
Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
ZoneAlarm Pro.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zapro.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Logitech Utility = Logi_MwX.Exe
zBrowser Launcher = C:\Programmer\Logitech\iTouch\iTouch.exe
DAEMON Tools-1033 = "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
NeroCheck = C:\WINNT\system32\NeroCheck.exe
ccApp = "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
Advanced Tools Check = C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
MessengerPlus2 = "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
nwiz = nwiz.exe /install
Synchronization Manager = mobsync.exe /logon
poostea = C:\DOCUME~1\MADSST~1\APPLIC~1\tlyhllqp.exe -QuieT

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MessengerPlus2 = "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
msnmsgr = "C:\Programmer\MSN Messenger\msnmsgr.exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\PROGRA~1\EPROMP~1\epsaver.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\DOCUME~1\MADSST~1\APPLIC~1\breaouckoostb.dll - {b10ec254-1605-4d44-b9df-f5dcf1cb5e78}
NAV Helper - C:\Programmer\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Creative Software AutoUpdate]
InProcServer32 = C:\WINNT\DOWNLO~1\CTSUEng.ocx
CODEBASE = http://www.creative.com/SU-newOCX/ocx/12110/CTSUEng.cab

[Shockwave ActiveX Control]
InProcServer32 = C:\WINNT\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[OPUCatalog Class]
InProcServer32 = C:\WINNT\System32\opuc.dll
CODEBASE = http://www.officeupdate.com/productupdates/content/opuc.cab

[SecureLogin.SecureControl]
InProcServer32 = C:\WINNT\Downloaded Program Files\ActiveSecurity.ocx
CODEBASE = http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

[{8AD9C840-044E-11D1-B3E9-00805F499D93}]

[ActiveScan Installer Class]
InProcServer32 = C:\WINNT\Downloaded Program Files\asinst.dll
CODEBASE = http://www.pandasoftware.com/activescan/as/asinst.cab

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37728.2612962963

[{CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA}]

[Shockwave Flash Object]
InProcServer32 = C:\WINNT\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MS Investor Ticker]
InProcServer32 = C:\WINNT\DOWNLO~1\ticker9.ocx
CODEBASE = http://fdl.msn.com/public/investor/v9/ticker.cab

[Creative Software AutoUpdate Support Package]
InProcServer32 = C:\WINNT\DOWNLO~1\CTPID.ocx
CODEBASE = http://www.creative.com/SU-newOCX/ocx/12110/CTPID.cab

[{FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75}]
CODEBASE = http://download.redswoosh.com/Installer/rsinstaller.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 6.726 bytes
Report generated in 0,080 seconds

Command line options:
  /verbose  - to add additional info on each section
  /complete - to include empty sections and unsuspicious data
  /full    - to include several rarely-important sections
  /force9x  - to include Win9x-only startups even if running on WinNT
  /forcent  - to include WinNT-only startups even if running on Win9x
  /forceall - to include all Win9x and WinNT startups, regardless of platform
  /history  - to list version history only

Nej det er det ikke.

Klik på HijackThis.exe
Klik på scan
Klik på save log.

My Bad

Logfile of HijackThis v1.93.0
Scan saved at 22:35:00, on 11-06-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.spilzonen.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://o12959.find-quick.com/searchbar.html
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU-newOCX/ocx/12110/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://www.officeupdate.com/productupdates/content/opuc.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37728.2612962963
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9/ticker.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU-newOCX/ocx/12110/CTPID.cab

Hvaø får du ud af det aovergaard?

Du får det i små bidder, for det tager mellem 1/2 og 1 tim at gå gennem sådan en log.
Skal fixes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.spilzonen.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://o12959.find-quick.com/searchbar.html

Måske har du selv bedt om at få www.spilzonen.dk som startside og så kan du lade være med at fixe den.

Når man fixer, så markeres filen og derefter klik på fix

Denne kan du også deaktiver i run dog ikke hvis du bruger dit tastatur til shot down.
Start
Kør
Skriv: msconfig
Fanebladet start
Fjern vingen

Samme fremgangsmåde på de to du fik før.

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

Denne behøver heller ikke at ligge og køre i din start, det er bare en reminder samt tjekker nye versioner af Norton

Anbefales ikke at køre med i start:

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Associated with the newer versions of nVidia graphics cards drivers.  Allows you to immensely improve desktop layouts by setting preferences and optimizations.  However, this isn't necessary for the operation of your system

Alt det der kender jeg godt... Og jeg har fjernet det unødvendige (1 ting som ikke havde noget med dette at gøre)

Men jeg DL SpyBot - Search & Destroy... Og den tog da fat. Efter jeg kørte den og rebootet har den irreterende ting der (I ZA) ikke været der

Resten er helt ok. Du har heldigvis ingen snavs liggende, kun de filer som ligger og flyder i run.

Den har for øvrigt også fjernet en værktøjslinie i IE som jeg aldrig har kunne få væk. Skønt...
aovergaard, Du får pointene for din hjælpsomhed og arbejdsflid! Tak for det!

Btw, Hvorfor må Messenger Plus ikke starte ved reboot?

Hov undskyld Messenger Plus må godt starte ved reboot.
Godt at alt det andet ser ud til at virke nu.
En anden fed scanner som finder ALT og jeg mener virkelig alt er Aluria som du også kan læse om hos spywarefri under værktøjer.
Takker for point:)

Før syntes jeg Ad-Aware var go' Hmmm, nu har jeg da skiftet mening ;-)

Ja spybot er noget mere effektiv, og aluria er den bedste af alle dem jeg kender. Prøvede du også at køre Aluria og hvad fik du ud af det.

Det som jeg ellers la merke til var denne:
http://home19.inet.tele.dk/madso/za.jpg
Det at det dukker opp stadig nye serverfunksjoner under nye navn vil jeg mene er typisk adferd for en litt avansert trojansk hest.

Og det er nok også det spybot eller aluria har fundet ud af.

[quote]Prøvede du også at køre Aluria og hvad fik du ud af det.[/quote]
Ja, den fandt 52.. SÅ det var herligt at komme af med.

Ja ved du hvad. Det er utrolig effektiv den aluria - og 52 det var ellers ikke så lidt.

Nej, specielt ikke når de 2 (Ad-Aware og SpyBot - Search & Destroy) andre ikke fandt noget.