backdoor.agobot.3.gen

Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilken af de 7 mirrors du bruger. Programmet er det samme.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.

Hent disse to programmer:

http://www.spywarefri.dk/vaerktoj.htm#spybot

http://www.spywarefri.dk/vaerktoj.htm#hijackthis

Dem bruger vi som værktøjer til at komme nærmere en løsning af dit problem.

Først spybot. Installer og opdater. Scan og afhjælp det den finder (markeret med rødt)
Derefter henter du hijackthis og scanner og gemmer loggen. Kopier den herind, så kigger vi på den. Du må ikke fixe noget selv.

Spywarefri er vist nede

hej ljunggren1: Desværre ja, hele hotellet UnoEuro og familien Wannafind er nede. Det skyldes en strømafbrydelse i Skanderborg-området. Forhåbentlig kommer vi snart op igen.

mvh
Perhaps / TeamSpywarefri

Jamen vi er her på Eksperten også :O)
Så kom du bare an *S*

Ja men jeg skulle hente en ny hijack, men jeg havde en på serveren
så nu kører vi

http://danborg.org/spy/HJT/hijackthis.exe
Ellers ligger den her :O)

Så har jeg kørt Spybot, men den bliver kvalt.
Her er en log:
Logfile of HijackThis v1.98.2
Scan saved at 13:02:27, on 08-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sysconf.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wupdmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\wupdmgr.exe
C:\Documents and Settings\Administrator.HOTHERBIB\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Hej :-)

Først skal du deaktivere systemgendannelse, se her: http://www.spywarefri.dk/virusscannere.htm#alle

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse som skal fixes:

O4 - HKLM\..\Run: [Video Process] sysconf.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [Video Process] sysconf.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
--------------------------------------------------------
For at kunne se alle filer og mapper, følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
---------------------------------------------------------------------
Genstart i fejlsikret tilstand (f8 ved opstart)

Find og slet følgende:

C:\WINDOWS\System32\sysconf.exe -> slet filen "sysconf.exe"
C:\WINDOWS\System32\sndloader.exe -> slet filen "sndloader.exe"
--------------------------------------
Genstart normalt og hent dernæst denne virusskanner fra Kaspersky: http://www.mwti.net/antivirus/free_utilities.asp
Aktiver alt i opsætningen, så den skanner det hele igennem.
Genstart når den er færdig.
---------------------------------------
Så skal du lige have lukket DCOM. Hent dette program: http://grc.com/files/DCOMbob.exe
Og følg vejledningen her: http://www.spywarefri.dk/dcom.htm
-----------------------------------------------
Genstart og kom med en ny log fra hijackthis til tjek.

Sådan:

Logfile of HijackThis v1.98.2
Scan saved at 12:42:23, on 10-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\F-Secure\Common\FSM32.EXE
C:\Programmer\F-Secure\Common\FSMA32.EXE
C:\Programmer\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\F-Secure\Common\FCH32.EXE
C:\Programmer\F-Secure\Common\FAMEH32.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Administrator.HOTHERBIB\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

Hej igen :-)

Din log er ren ;=)

Oplever du stadig problemer?
---
Disse kan du også lige fixe. De er ikke snavs, bare unødvendige:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Tak skal du have. Vil du have nogle point så send lige et svar.

Hej igen og velbekomme :-)

Du er nu ren og må slå systemgendannelse til igen, samt sætte mappeindstillinger tilbage til de oprindelige.

For at holde din computer ren kan du kigge på artiklerne om emnet her:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Ad-aware og/eller Spybot, Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.