Avatar billede hero69 Nybegynder
29. april 2004 - 19:42 Der er 47 kommentarer og
1 løsning

Jeg har nogle trojanske heste, hvordan slipper jeg af med dem

den ene hedder " Downloader. Dyfica.AB  og den anden hedder Downloader. Dyfica. W
Avatar billede johnstigers Seniormester
29. april 2004 - 19:43 #1
http://www.arlet.dk/spybothjt.htm - smid nævnte log herind, så kigger jeg på den.
Avatar billede hero69 Nybegynder
29. april 2004 - 19:44 #2
jeg kan sagtens finde de to trojanske heste med AVG, jeg kan os fjerne dem ! men der er en anden vira ting som henter dem ned igen, hvilken program kan jeg finde det med ?
Avatar billede hero69 Nybegynder
29. april 2004 - 19:44 #3
oki thx john
Avatar billede hero69 Nybegynder
29. april 2004 - 19:45 #4
skal jeg først køre spybot ?
og der næst hijack ?
Avatar billede hero69 Nybegynder
29. april 2004 - 19:46 #5
her kommer loggen fra hijackthis
Avatar billede hero69 Nybegynder
29. april 2004 - 19:46 #6
Logfile of HijackThis v1.97.7
Scan saved at 7:46:18 PM, on 29/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Ahead\InCD\InCD.exe
D:\Programmer\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Overnet] E:\Programmer\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spil\steam\steam.exe" -silent
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3831365741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
Avatar billede hero69 Nybegynder
29. april 2004 - 19:48 #7
spybot siger tillykke ingen bots, men det køre jeg os hver dag ..
Avatar billede hero69 Nybegynder
29. april 2004 - 19:50 #8
smider os lige en fra AGV :

Results of Complete Test, date and time 21/02/2004 14:15:36 :

Testing C:\ serial 28F7-6924
C:\Documents and Settings\LocalService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\WINDOWS\WSEM216.DLL repaired
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Cannot open; not checked!
Testing D:\ serial 1839-8244
D:\Programmer\backup-20040302-183634-776.dll repaired
D:\Programmer\backup-20040302-183700-225.dll repaired
Testing E:\ serial 0836-544A

Test finished, duration 00:21:16.2 s
16392 objects tested, 3 found infected
Avatar billede hero69 Nybegynder
29. april 2004 - 19:57 #9
jeg har lige forsøgt at slette de filer jeg kan se via AGV, jeg kan bare ikke finde den på C drevet :?
Avatar billede hero69 Nybegynder
29. april 2004 - 20:05 #10
gik du kold i loggen :D
Avatar billede hero69 Nybegynder
29. april 2004 - 20:06 #11
jeg laver lige en nye agv scan, så jeg kan se om de filer jeg lige har fjernet hjælper
Avatar billede johnstigers Seniormester
29. april 2004 - 20:14 #12
Løber lige loggen igennem
Avatar billede johnstigers Seniormester
29. april 2004 - 20:16 #13
jeg kan se bruger overnet - ud med det.
Avatar billede fromsej Praktikant
29. april 2004 - 20:18 #14
Flyt først filen Hijackthis til en mappe oprettet kun til den.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filen/filerne listet nederst.


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\WSEM216.DLL <- Filen.
---------------------------------------
De to her ser underlige ud, men om det er dem ved jeg ikke, prøv at scanne dem hos Kaspersky. http://www.kaspersky.com/remoteviruschk.html
D:\Programmer\backup-20040302-183634-776.dll repaired
D:\Programmer\backup-20040302-183700-225.dll repaired

Genstart og kom med en ny logfil, så jeg kan se om alt er med.
Avatar billede hero69 Nybegynder
29. april 2004 - 20:18 #15
:P

er slette for langtid siden ?
Avatar billede hero69 Nybegynder
29. april 2004 - 20:18 #16
ca en mdr
Avatar billede fromsej Praktikant
29. april 2004 - 20:19 #17
Sorry John, jeg glemte at opdatere.
Avatar billede hero69 Nybegynder
29. april 2004 - 20:21 #18
skulle prøves :D
Avatar billede hero69 Nybegynder
29. april 2004 - 20:23 #19
oki jeg går i gang nu
Avatar billede hero69 Nybegynder
29. april 2004 - 20:25 #20
den vil ikke deaktiver systemgendaanelser ?!
Avatar billede hero69 Nybegynder
29. april 2004 - 20:28 #21
jeg smider lige den nyeste scan fra agv : Results of Complete Test, date and time 29/04/2004 19:57:52 :

Testing C:\ serial 28F7-6924
C:\Documents and Settings\LocalService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Cannot open; not checked!
Testing D:\ serial 1839-8244
Testing E:\ serial 0836-544A

Test finished, duration 00:18:28.0 s
17127 objects tested, 0 found infected
Avatar billede fromsej Praktikant
29. april 2004 - 20:36 #22
Hvad sagde Kaspersky til de to .dll filer?
Hvilken fejl får du når du vil deaktivere systemgendannelse?
Har du fulgt min vejledning?
John Stigers>>ICQ?
Avatar billede hero69 Nybegynder
29. april 2004 - 20:45 #23
jeg har deakiveret den og søgte efter filen C:\WINDOWS\WSEM126:DLL,  både auto + man..  men kan ikke finde den
Avatar billede hero69 Nybegynder
29. april 2004 - 20:45 #24
her kommer den nye log fra hijack: 

Logfile of HijackThis v1.97.7
Scan saved at 8:43:20 PM, on 29/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Ahead\InCD\InCD.exe
D:\Programmer\D-Tools\daemon.exe
C:\Programmer\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
E:\spil\steam\steam.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
D:\Programmer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Overnet] E:\Programmer\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spil\steam\steam.exe" -silent
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3831365741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
Avatar billede hero69 Nybegynder
29. april 2004 - 20:46 #25
Mærkeligt at hijackthis osse finder overnet !! måske er det den som er kilden der dl'er dem igen og igen ?
Avatar billede hero69 Nybegynder
29. april 2004 - 20:47 #26
kan der ske noget ved jeg fjerner dem med hijackthis ?

alt efter jeg slettede overnet for 1 mdr siden ?
Avatar billede johnstigers Seniormester
29. april 2004 - 21:02 #27
fromsej> overtag bare - har ikke tid lige nu :)
Avatar billede hero69 Nybegynder
29. april 2004 - 21:09 #28
Well tor faktisk selv jeg har fixed det,

men point til fromsej
Avatar billede hero69 Nybegynder
29. april 2004 - 21:09 #29
det var sku overnet der var viraen !!
Avatar billede hero69 Nybegynder
29. april 2004 - 21:10 #30
gi lige et svar fromsej
Avatar billede fromsej Praktikant
29. april 2004 - 21:21 #31
Så gerne, det var også det eneste der var tilbage.
Lidt læsestof om at holde skidtet ude:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede johnstigers Seniormester
29. april 2004 - 21:39 #32
Kommentar: john_stigers
29/04-2004 20:16:00 jeg kan se bruger overnet - ud med det.

Kommentar: hero69
29/04-2004 21:09:49 det var sku overnet der var viraen !!

(du glemte mig;))
Avatar billede fromsej Praktikant
29. april 2004 - 21:50 #33
*S*
Ja, det må man sige, vi skal vist dele her John. ;o)
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:26 #34
DRENGE
for satan fark overnet, det var ikke vira kan jeg se ud fra de datere det sender og modtager, men jeg har fundet navne på de worms jeg har som giver de probs !! 

det er noget W32.SASSER.A & B & C
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:27 #35
Btw valgte jeg at give john karme :)
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:28 #36
men har i tid og lyst til at hjælpe med at fjerne de worms ?

for dem ahr jeg ingen forstan på ?
Avatar billede arlet Juniormester
03. maj 2004 - 19:31 #37
Gå i start og skriv shutdown -a
så skulle den stoppe med at genstarte

Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Fjern ormen med stinger: http://www.arlet.dk/special.htm
Avatar billede johnstigers Seniormester
03. maj 2004 - 19:32 #38
http://sophos.com/support/cleaners/sassgui.com

Start programmet - vælg Go -> start scan - det skulle fjerne virussen.

Gå på windows update og installer de updates du endnu ikke har
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:36 #39
John jeg har oprettet et nyt spørgsmål, skriv lige et svar der så for du dine i forvejen fortjente point :D
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:39 #40
men der der er noget lort, sry sproget, men hver gang jeg sletter en orm kommer der en ny slags ?
Avatar billede johnstigers Seniormester
03. maj 2004 - 19:42 #41
hero69> dette gør jeg gratis - det er vist heller ikke tilladt at modtage point på denne måde (du kan selvfølgelig oprette et spørgsmål, som jeg og andre vil svare på ;))
Avatar billede johnstigers Seniormester
03. maj 2004 - 19:46 #42
hero69> tak (en spade gav mig dårlig karma - så det trak op ;)
Avatar billede johnstigers Seniormester
03. maj 2004 - 19:46 #43
;)
Avatar billede johnstigers Seniormester
03. maj 2004 - 19:47 #44
(det var til din kommentar 03/05-2004 19:27:31)
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:53 #45
:( læste lige det han havde skreven..

enten har han fået det forkerte ben ud af sengen, eller har han bare meget meget stor mangel på hjerne celler !!
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:55 #46
og indgivet en klage over dårlig karme
Avatar billede hero69 Nybegynder
03. maj 2004 - 19:55 #47
og i morgen får jeg en staveplade, så kan du os læse hva jeg skriver :D :P
Avatar billede johnstigers Seniormester
03. maj 2004 - 20:01 #48
hehe ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester