Avatar billede jonasbang Novice
24. juli 2004 - 14:02 Der er 17 kommentarer og
1 løsning

Backdoor.trojan popup fra Norton og Hijackthis.log

Hjælp !!!

Jeg får en popup fra Norton om at jeg har en virus 'backdoor.trojan' i filen c:\windows\system32\d3d.dll. Jeg har kørt alle programmer Arlet anbefaler, og TrojanHunter fandt en enkelt infected fil, men ikke d3d.dll, den findes nemlig slet ikke. Jeg får denne popup HVER gang jeg åbner et program. Jeg har nu slået systemgendannelse fra og genstartet, det hjalp ikke.

Status: Nu står pc'en (stadig med systemgendannelse slået fra) og jeg har netop kørt en Hijackthis log (se længere nede).

Jeg har de sidste par uger haft nogle problemer med noget spyware der blev ved at dukke op, og som jeg blev ved at fjerne med AdAware og SpyBot, og jeg var nu nået til at ville prøve med Hijackthis for at få det væk. Men det er nu blevet erstattet af dette backdoor.trojan problem.

Hijackthis.log:

Logfile of HijackThis v1.97.7
Scan saved at 13:45:01, on 24-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Jonas Bang\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37956.4493055556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede fromsej Praktikant
24. juli 2004 - 14:22 #1
Hent lige den nyeste Hijackthis, den viser mere:
http://www.spywareinfo.com/~merijn/files/HijackThis.exe
Kom så med en log fra den.
Avatar billede jonasbang Novice
24. juli 2004 - 16:11 #2
Her er den :

Logfile of HijackThis v1.98.0
Scan saved at 16:15:10, on 24-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jonas Bang\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3d.dll
Avatar billede jonasbang Novice
24. juli 2004 - 16:36 #3
Hmmm går ud fra at jeg skal fixe denne fra log'en :
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3d.dll

Men, jeg venter lige med at gøre noget til jeg har fået dine kommentarer.
Avatar billede fromsej Praktikant
24. juli 2004 - 16:46 #4
Den skal nok gribes an på en anden måde.
Til alle andre end Jonasbang:
Vi henstiller, at man undlader at kopiere dette fix og forsøger på egen hånd. Det er ikke et automatisk fix og det kræver tilpasning til den enkelte computer.

Hent FINDnFIX her:
http://downloads.subratam.org/FINDnFIX.exe
Dobbeltklik på filen - den vil installere sig på din computer i C:\FINDnFIX
I mappen ligger der !LOG!.bat, som du skal dobbeltklikke på - der går nu lidt tid, mens den indhenter informationer - når den er færdig, lægges der en Log.txt i mappen. Kopier indholdet herind.
Avatar billede jonasbang Novice
24. juli 2004 - 17:27 #5
Ok, her er log :


»»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»»»
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [Version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q330994-Q824145-Q832894-Q837009-Q831167-Q823353
The type of the file system is NTFS.
C: is not dirty.

Sat 24 Jul 04  17:29:15
  5:29pm  up 0 days,  4:04

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 7/21)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:\WINDOWS\System32\D3D.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3D.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:\FINDnFIX\LIST.TXT
D3D.DLL      Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT
¯ Access denied ® ..................... D3D.DLL      .....57344  21.06.2004 

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\D3D.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


C:\WINDOWS\SYSTEM32\
  d3d.dll        Mon 21 Jun 2004  22.51.12  .....        57.344    56,00 K

1 item found:  1 file, 0 directories.
  Total of file sizes:  57.344 bytes    56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\D3D.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 504

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ    C:\\WINDOWS\\System32\\d3d.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs = C:\WINDOWS\System32\d3d.dll
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Users
(ID-IO) ALLOW  Read            BUILTIN\Users
(ID-NI) ALLOW  Full access     BUILTIN\Administrators
(ID-IO) ALLOW  Full access     BUILTIN\Administrators
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Users
Full access      BUILTIN\Administrators
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group ANNEHVIID\None.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group \LOCAL.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.


»»»»»»Backups created...»»»»»»
  5:30pm  up 0 days,  4:05
Sat 24 Jul 04  17:30:08

A          C:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 07-24-2004 keyback.hiv
A          C:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        317 07-24-2004 winkey.reg
*Temp backups...
.             
..           
keyback2.hi_ 
winkey2.re_   


C:\FINDNFIX\
  JUNKXXX        Sat 24 Jul 2004  17.29.14  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                    E      vk  8            f AppInit_DLLs  G
00001190:    C : \ W I N D O W S \ S y s t e m 3 2 \ d 3 d . d l l  vk 
000011D0:    h      vk                UDeviceNotSelectedTimeout    1 5
00001210:    x      9 0      =t    vk      '        zGDIProcessHandle
00001250:Quota"      vk      x          Spooler2    y e s    _    h 
00001290:    (  X          vk                5swapdisk    vk         
000012D0:      . TransmissionRetryTimeout    h      (  X             
00001310:    vk      '          USERProcessHandleQuota          t  U  U
00001350: E  E      M  L    U  P    L  P GK        3              t
00001390:  E  E  M  M  ~    E    C      t  E    ]  E    C      t  E   
000013D0:]  E  ]      t$ U  U  E  E  M  M  U  U  E  E  M  M  E    C     
00001410:@t  U  U  E  E        H  ]    At! E      E    H  ]  E    H 
00001450: ]    E      E    H  ]  E    H  ]  E  e  U  ]    @t  M  M  U
00001490: U      E  ]      t% E  u  U  M    H  (  E  }  E  ]  V E  u
000014D0:  |      H    |    t      H    ~    H    t      H    |      H
00001510:  ]  E  u  E  ]  E  ]  E    C      @t    L      <        E  D
00001550:  M  H    D  R YI              @%      t  M  4    U  8 
00001590: $ E  8~  E    I    E    I      4    4    <    8    @   
000015D0:<    U  @    E  M  M  U  U  E  M    U  P  E  M               

---------- WIN.TXT
fùAppInit_DLLs֍æGÀÿÿÿC
--------------
--------------
$01180: AppInit_DLLs
$011EF: UDeviceNotSelectedTimeout
$0123F: zGDIProcessHandleQuota
$012D8: TransmissionRetryTimeout
$01328: USERProcessHandleQuota
--------------
--------------
C:\WINDOWS\System32\d3d.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3d.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 56 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\d3d.dll"
0000    43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00  |  C.:.\.W.I.N.D.O.
0010    57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00  |  W.S.\.S.y.s.t.e.
0020    6d 00 33 00 32 00 5c 00 64 00 33 00 64 00 2e 00  |  m.3.2.\.d.3.d...
0030    64 00 6c 00 6c 00 00 00                          |  d.l.l...

Avatar billede fromsej Praktikant
24. juli 2004 - 17:34 #6
Det her er "synderen" - C:\WINDOWS\SYSTEM32\D3D.DLL

I keys1 mappen ligger der en fil der hedder FIX.bat - dobbeltklik på den. Computeren vil genstarte. Giv den tilladelse til at genstarte. Når computeren er genstartet, skal du åbne Stifinder og finde C:\Windows\System32 - find filen D3D.DLL (den bør være synlig nu). Klik én gang på filen så den bliver markeret med blåt, i menuen for oven skal du vælge Rediger -> Flyt til mappe ...og flyt den til C:\FINDnFIX\junkxxx.

Åben FINDnFIX mappen igen - dobbeltklik på Restore.bat. Når den har kørt ligger der en logfil igen, der hedder Log2.txt - kopier indholdet herind i dit næste indlæg.
Avatar billede jonasbang Novice
24. juli 2004 - 17:49 #7
Ok. Kørte bat filen. PC'en genstartede (jeg har slået systemgendannelse fra). Men, filen er ikke blevet synlig. Jeg har slået alle HIDE optioner fra. Der ligger nogle andre filer, såsom D3D8.DLL.
Avatar billede jonasbang Novice
24. juli 2004 - 18:10 #8
Øhh, nu er det væk ... eller ?!??!?!?!?

Kørte FIX.BAT en gang til. Stadig ingen D3D.DLL fil. Men jeg får heller ikke Norton popup længere hver gang jeg starter et program. Så kørte jeg lige en Hijackthis, og denne linie er IKKE med mere:
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3d.dll

Hvad er din mening ??
Skal jeg køre en ny !LOG!.bat ??
Avatar billede fromsej Praktikant
24. juli 2004 - 19:51 #9
Nej, du skal køre Restore.bat.
Det her er i tre trin, det er vigtigt at du følger dem.

Åben FINDnFIX mappen igen - dobbeltklik på Restore.bat. Når den har kørt ligger der en logfil igen, der hedder Log2.txt - kopier indholdet herind i dit næste indlæg.
Avatar billede jonasbang Novice
24. juli 2004 - 20:03 #10
Ok, så er Restore kørt og her er logfilen, men den kom med et par errors undervejs idet der ikke ligger nogle filer i 'junkxxx'.


»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»

Sat 24 Jul 04  20:03:29
  8:03pm  up 0 days,  1:56

Microsoft Windows XP [Version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q330994-Q824145-Q832894-Q837009-Q831167-Q823353
The type of the file system is NTFS.
C: is not dirty.

»»»»»»»»»»»»»»»»»»***LOG2!(*updated 7/21)***»»»»»»»»»»»»»»»»

This log will confirm if the file was successfully moved, and/or
the right file was selected...

Scanning for file(s) in System32...

»»»»»»» (1) »»»»»»»

»»»»»»» (2) »»»»»»»
**File C:\FINDnFIX\LIST.TXT

»»»»»»» (3) »»»»»»»

No matches found.
Unknown/hidden files...

No matches found.

»»»»»»» (4) »»»»»»»
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(5)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»»»(*6*)»»»»»

»»»»»»» Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»*»»» Scanning for moved file... »»»*»»»

(***Note: If the file is listed as +++ read error it's security restrictions couldn't be stripped!
RightClick on the file/properties/security
and check the "Allow Inheritable permissions from parent..." box.
Do the same for the folder (junkxxx) it's in, otherwise ignore and procceed)



No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


fgrep: no files found for C:\FINDNFIX\JUNKXXX\*.*


File not found - C:\FINDnFIX\junkxxx\*.*

CHK-SAFE.EXE Ver 2.51 by Bill Lambdin Don Peters and Robert Bullock.
MD5 Message Digest Algorithm by RSA Data Security, Inc.

  File name    Size    Date    Time        MD5 Hash
________________________________________________________________________

»»Permissions:
ERROR: There are no more files. Directory "C:\FINDnFIX\junkxxx\."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x BUILTIN\Administrators
        Allow  00000002 tc-- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000009 --o- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000002 tc-- 001F01FF ---- DSPO rw+x BUILTIN\Administrators
        Allow  00000009 --o- 001F01FF ---- DSPO rw+x BUILTIN\Administrators
        Allow  00000013 tco- 001F01FF ---- DSPO rw+x BUILTIN\Administrators
        Allow  00000013 tco- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x ANNEHVIID\Jonas Bang
        Allow  0000001B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000013 tco- 001200A9 ---- -S-- r--x BUILTIN\Users
        Allow  00000012 tc-- 00000004 ---- ---- --+- BUILTIN\Users
        Allow  00000012 tc-- 00000002 ---- ---- -w-- BUILTIN\Users

    Owner: ANNEHVIID\Jonas Bang

    Primary Group: ANNEHVIID\None

Directory "C:\FINDnFIX\junkxxx\.."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x BUILTIN\Administrators
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000000 t--- 001F01FF ---- DSPO rw+x ANNEHVIID\Jonas Bang
        Allow  0000000B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000003 tco- 001200A9 ---- -S-- r--x BUILTIN\Users
        Allow  00000002 tc-- 00000004 ---- ---- --+- BUILTIN\Users
        Allow  00000002 tc-- 00000002 ---- ---- -w-- BUILTIN\Users

    Owner: ANNEHVIID\Jonas Bang

    Primary Group: ANNEHVIID\None




»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
    AppInit_DLLs =

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Users
(ID-IO) ALLOW  Read            BUILTIN\Users
(ID-NI) ALLOW  Full access     BUILTIN\Administrators
(ID-IO) ALLOW  Full access     BUILTIN\Administrators
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-NI) ALLOW  Full access     ANNEHVIID\Jonas Bang
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Users
Full access      BUILTIN\Administrators
Full access      NT AUTHORITY\SYSTEM
Full access      ANNEHVIID\Jonas Bang



00001150:DJ :                                    HIgB ^ DJ :           
00001190:    HIgB ^ DJ :            vk                v DeviceNotSelecte
000011D0:dTimeout    1 5    x              vk      '          GDIProce
00001210:ssHandleQuotak      9 0            vk      P        t_Spooler
00001250:    y e s    ny    vk                S swapdisk            0 
00001290:`          vk                  TransmissionRetryTimeout    vk 
000012D0:    '        utUSERProcessHandleQuota              0  `     
00001310:            vk                utAppInit_DLLs x                 
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               

---------- NEWWIN.TXT
utAppInit_DLLsxä
--------------
--------------
$011C0: DeviceNotSelectedTimeout
$01208: GDIProcessHandleQuotak
$012B0: TransmissionRetryTimeout
$012DE: utUSERProcessHandleQuota
$0132E: utAppInit_DLLs
--------------
--------------
No strings found.


d....        0  Jul 24  17:29  .   
d....        0  Jul 24  17:29  .. 

2 files found occupying -1024 bytes

CRC-Cyclic Redundancy Checker, Version 1.20, 08-Feb-92, rtk

C:\FINDNFIX\JUNKXXX
        No files found


===============================================================================
            0 bytes  0 cps 
Files: 0  Records: 0  Matches: 0  Elapsed Time: 00:00:00.06

VDIR v1.00
Path: C:\FINDNFIX\JUNKXXX\*.*
---------------------------------------+---------------------------------------
.            <dir>      07-24-:4 17:29|..          <dir>      07-24-:4 17:29
---------------------------------------+---------------------------------------
        2 files totaling 0 bytes consuming 0 bytes of disk space.
17299968 bytes available on Drive C:    No volume label
 
...File dump...


Detecting...

C:\FINDnFIX\junkxxx                                                           
Finished Detecting...                                                          
Avatar billede fromsej Praktikant
24. juli 2004 - 20:20 #11
Åben C:\FINDnFIX\Files2 (mappen Files2) - dobbeltklik på ZIPZAB.bat. Den vil nu rense yderligere og kopiere de "snavsede" filer over i en zipfil der hedder junkxxx.zip.

Programmet vil også åbne dit e-mail program, idet konstruktøren gerne vil have kopier af infektionen, så hun kan udvikle modforholdsreglerne. Jeg skal bede dig om at "trække" junkxxx.zip over i dit e-mail program, i tekst feltet skriver du "http://www.eksperten.dk/spm/522783" og sender filen. Du har nu været med til at bekæmpe denne irriterende infektion.( Er der ikke nogen filer i junkxxx.zip, så bare lad være med at sende den )
For at afslutte oprydningen - Hent CWShredder her:
http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Kør programmet, luk alle vinduer, undtaget CWSschredder, klik på "Fix", den scanner nu, når den er færdig klik på "Next", klik på "Finish".
Genstart din computer, kør HijackThis, scan og læg en frisk log herind.
Avatar billede jonasbang Novice
24. juli 2004 - 20:35 #12
Ok.

ZibZab.bat kørt.
Mail sendt med 'junkxxx.zip'.
Kørt CWShedder - intet fundet.
Genstartet - stadig uden systemgendannnelse.
Og her er Hijackthis log:

Logfile of HijackThis v1.98.0
Scan saved at 20:36:29, on 24-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Jonas Bang\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
Avatar billede fromsej Praktikant
24. juli 2004 - 20:38 #13
Så er din log ren, du kan genaktivere systemgendannelse.
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede jonasbang Novice
24. juli 2004 - 20:48 #14
Mange tak for hjælpen.

Har du nogen anelse om hvordan det er kommet ind ??
Jeg havde allerede AdAware, SpyBot, SpywareBlaster, SpywareGuard, og CWShredder installeret. Nu har jeg så tilføjet TrojanHunter, FINDnFIX, og HiJackThis.

Mvh,
Jonas Bang

NB! Hvis du tilfældigvis er fotointeresseret, så kig forbi www.jonasbang.dk
Avatar billede jonasbang Novice
24. juli 2004 - 20:49 #15
Nå, jeg fik vidst ikke Accepteret dit svar, jeg prøver igen.
Avatar billede fromsej Praktikant
24. juli 2004 - 20:57 #16
Det eneste jeg ville tilføje er IE-Spyad, det holder altså en del skidt ude.
Hvordan du har fået det, tjae det er næsten umuligt at svare på, men hvis du sørger for at holde dine sikkerhedssystemer opdaterede og bruger nettet med omtanke, så er du rimelig godt garderet.
FindNfix og hijackthis beskytter ikke mod noget, det er værktøjer til at fjerne ting med, og de skal bruges med stor forsigtighed.
Tak for point.*S*
Avatar billede jonasbang Novice
24. juli 2004 - 21:04 #17
Det glemte jeg, jeg havde allerede IE-spyad. Så nu skal jeg bare holde dem alle opdateret jævnligt.

Men det nu lidt mystisk, jeg surfer ikke så "langt ud" hvis man da kan bruge den term.

Endnu en gang tak for hjælpen, det er uvurderligt at have dette forum med Jer eksperter.

Mvh,
Jonas Bang
Avatar billede fromsej Praktikant
24. juli 2004 - 21:16 #18
Velbekomme.*S*
Jeg har lige kigget flygtigt på dine billeder, den er lagt i foretrukne så jeg får den nærstuderet.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester