Jeg har nogle trojanske heste, hvordan slipper jeg af med dem

http://www.arlet.dk/spybothjt.htm - smid nævnte log herind, så kigger jeg på den.

jeg kan sagtens finde de to trojanske heste med AVG, jeg kan os fjerne dem ! men der er en anden vira ting som henter dem ned igen, hvilken program kan jeg finde det med ?

oki thx john

skal jeg først køre spybot ?
og der næst hijack ?

her kommer loggen fra hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 7:46:18 PM, on 29/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Ahead\InCD\InCD.exe
D:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Overnet] E:\Programmer\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spil\steam\steam.exe" -silent
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3831365741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab

spybot siger tillykke ingen bots, men det køre jeg os hver dag ..

smider os lige en fra AGV :

Results of Complete Test, date and time 21/02/2004 14:15:36 :

Testing C:\ serial 28F7-6924
C:\Documents and Settings\LocalService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\WINDOWS\WSEM216.DLL repaired
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Cannot open; not checked!
Testing D:\ serial 1839-8244
D:\Programmer\backup-20040302-183634-776.dll repaired
D:\Programmer\backup-20040302-183700-225.dll repaired
Testing E:\ serial 0836-544A

Test finished, duration 00:21:16.2 s
16392 objects tested, 3 found infected

jeg har lige forsøgt at slette de filer jeg kan se via AGV, jeg kan bare ikke finde den på C drevet :?

gik du kold i loggen :D

jeg laver lige en nye agv scan, så jeg kan se om de filer jeg lige har fjernet hjælper

Løber lige loggen igennem

jeg kan se bruger overnet - ud med det.

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filen/filerne listet nederst.


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\WSEM216.DLL <- Filen.
---------------------------------------
De to her ser underlige ud, men om det er dem ved jeg ikke, prøv at scanne dem hos Kaspersky. http://www.kaspersky.com/remoteviruschk.html
D:\Programmer\backup-20040302-183634-776.dll repaired
D:\Programmer\backup-20040302-183700-225.dll repaired

Genstart og kom med en ny logfil, så jeg kan se om alt er med.

:P

er slette for langtid siden ?

ca en mdr

Sorry John, jeg glemte at opdatere.

skulle prøves :D

oki jeg går i gang nu

den vil ikke deaktiver systemgendaanelser ?!

jeg smider lige den nyeste scan fra agv : Results of Complete Test, date and time 29/04/2004 19:57:52 :

Testing C:\ serial 28F7-6924
C:\Documents and Settings\LocalService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Cannot open; not checked!
Testing D:\ serial 1839-8244
Testing E:\ serial 0836-544A

Test finished, duration 00:18:28.0 s
17127 objects tested, 0 found infected

Hvad sagde Kaspersky til de to .dll filer?
Hvilken fejl får du når du vil deaktivere systemgendannelse?
Har du fulgt min vejledning?
John Stigers>>ICQ?

jeg har deakiveret den og søgte efter filen C:\WINDOWS\WSEM126:DLL,  både auto + man..  men kan ikke finde den

her kommer den nye log fra hijack: 

Logfile of HijackThis v1.97.7
Scan saved at 8:43:20 PM, on 29/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Ahead\InCD\InCD.exe
D:\Programmer\D-Tools\daemon.exe
C:\Programmer\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
E:\spil\steam\steam.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
D:\Programmer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Overnet] E:\Programmer\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spil\steam\steam.exe" -silent
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3831365741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab

Mærkeligt at hijackthis osse finder overnet !! måske er det den som er kilden der dl'er dem igen og igen ?

kan der ske noget ved jeg fjerner dem med hijackthis ?

alt efter jeg slettede overnet for 1 mdr siden ?

fromsej> overtag bare - har ikke tid lige nu :)

Well tor faktisk selv jeg har fixed det,

men point til fromsej

det var sku overnet der var viraen !!

gi lige et svar fromsej

Så gerne, det var også det eneste der var tilbage.
Lidt læsestof om at holde skidtet ude:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Kommentar: john_stigers
29/04-2004 20:16:00 jeg kan se bruger overnet - ud med det.

Kommentar: hero69
29/04-2004 21:09:49 det var sku overnet der var viraen !!

(du glemte mig;))

*S*
Ja, det må man sige, vi skal vist dele her John. ;o)

DRENGE
for satan fark overnet, det var ikke vira kan jeg se ud fra de datere det sender og modtager, men jeg har fundet navne på de worms jeg har som giver de probs !! 

det er noget W32.SASSER.A & B & C

Btw valgte jeg at give john karme :)

men har i tid og lyst til at hjælpe med at fjerne de worms ?

for dem ahr jeg ingen forstan på ?

Gå i start og skriv shutdown -a
så skulle den stoppe med at genstarte

Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Fjern ormen med stinger: http://www.arlet.dk/special.htm

http://sophos.com/support/cleaners/sassgui.com

Start programmet - vælg Go -> start scan - det skulle fjerne virussen.

Gå på windows update og installer de updates du endnu ikke har

John jeg har oprettet et nyt spørgsmål, skriv lige et svar der så for du dine i forvejen fortjente point :D

men der der er noget lort, sry sproget, men hver gang jeg sletter en orm kommer der en ny slags ?

hero69> dette gør jeg gratis - det er vist heller ikke tilladt at modtage point på denne måde (du kan selvfølgelig oprette et spørgsmål, som jeg og andre vil svare på ;))

hero69> tak (en spade gav mig dårlig karma - så det trak op ;)

;)

(det var til din kommentar 03/05-2004 19:27:31)

:( læste lige det han havde skreven..

enten har han fået det forkerte ben ud af sengen, eller har han bare meget meget stor mangel på hjerne celler !!

og indgivet en klage over dårlig karme

og i morgen får jeg en staveplade, så kan du os læse hva jeg skriver :D :P

hehe ;)