Avatar billede jenskmo Nybegynder
19. januar 2005 - 23:41 Der er 27 kommentarer og
3 løsninger

er blevet hacket

hej
er blevet hacket hjælp
her er en logfil.
Logfile of HijackThis v1.99.0
Scan saved at 23:28:43, on 19-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programmer\QuickTime\qttask.exe
D:\Programmer\D-Tools\daemon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\WINDOWS\System32\MSSVC.EXE
D:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programmer\Red Chair Software\Anapod Explorer\anamgr.exe
D:\Programmer\SpywareGuard\sgmain.exe
D:\Programmer\SpywareGuard\sgbhp.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Documents and Settings\jensm\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://post6.stam.dk/servlet/webacc
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - D:\Programmer\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - D:\Programmer\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SysPool] D:\WINDOWS\System32\MSSVC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Anapod Manager.lnk = D:\Programmer\Red Chair Software\Anapod Explorer\anamgr.exe
O4 - Startup: SpywareGuard.lnk = D:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: winupdate63907169[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094202405796
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {BCBC9371-595D-11D4-A96D-00105A1CEF6C} (View22RTE Class) - http://merillat.view22.com/view22/View22RTE.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flash.ladbrokescasino.com/ladbrokes/FlashAX.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: Adobe LM Service - Unknown - D:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
Avatar billede kalp Novice
19. januar 2005 - 23:42 #1
jeg kigger lige og ser
Avatar billede kalp Novice
19. januar 2005 - 23:50 #2
Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for denne linie - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O4 - Startup: winupdate63907169[1].exe
O16 - DPF: {BCBC9371-595D-11D4-A96D-00105A1CEF6C} (View22RTE Class) - http://merillat.view22.com/view22/View22RTE.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flash.ladbrokescasino.com/ladbrokes/FlashAX.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab

genstart normalt og en ny log
Avatar billede kalp Novice
19. januar 2005 - 23:53 #3
ellers et spørgsmål.. hvor mener du at du er blevet hacked? hvis du mener det bør du måske sørge for at have en firewall kørende.
Avatar billede jenskmo Nybegynder
20. januar 2005 - 08:16 #4
har gjort som nævnt, men det hjalp ikke.
det er en agressiv dialer der dukker op ved hver genstart og som ændrer det igangværende explorer vindue, skal skynde mig at skrive det her inden den lukker siden ned eller skifter den med en porno side.
den har også lagt sig med en mappe i d: og selv om jeg cansler den så er den der igen næste gang jeg starter op.
her er en ny log
Logfile of HijackThis v1.99.0
Scan saved at 08:12:35, on 20-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\RunDll32.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programmer\QuickTime\qttask.exe
D:\Programmer\D-Tools\daemon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\WINDOWS\System32\MSSVC.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programmer\Red Chair Software\Anapod Explorer\anamgr.exe
D:\Programmer\SpywareGuard\sgmain.exe
D:\Programmer\SpywareGuard\sgbhp.exe
D:\WINDOWS\System32\svchost.exe
D:\DOCUME~1\jensm\LOKALE~1\Temp\tmp1E.tmp
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Documents and Settings\jensm\Skrivebord\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://post6.stam.dk/servlet/webacc
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - D:\Programmer\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - D:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - D:\WINDOWS\Downloaded Program Files\googlenav.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - D:\Programmer\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SysPool] D:\WINDOWS\System32\MSSVC.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [secboot] D:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Anapod Manager.lnk = D:\Programmer\Red Chair Software\Anapod Explorer\anamgr.exe
O4 - Startup: SpywareGuard.lnk = D:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: winupdate63907169[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://D:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094202405796
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O23 - Service: Adobe LM Service - Unknown - D:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
Avatar billede andersenph Nybegynder
20. januar 2005 - 09:01 #5
Vi er stødt på den fætter een gang før, og vi arbejder stadig på at få den væk.
Indtil videre skal du gøre således:

Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware

Sæt lige de indstillinger korrekt, så det er klar til brug senere.

Hent og opdater CWShredder:  http://danborg.org/spy/CWS/cwshredder.exe


Hent dette clear reg prg. som er en free for 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Lad de tre programmer ligge lidt endnu, du skal bruge dem længere nede.
 


Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.
http://www.spywarefri.dk/virusscannere.htm#alle


Kør nu det clear reg Supreme prg. som du har hentet, og slet alt hvad den finder.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://post6.stam.dk/servlet/webacc
O4 - HKLM\..\Run: [secboot] D:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: winupdate63907169[1].exe


For at kunne se alle filer og mapper, så følg denne vejledning:

Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Find og slet:

D:\WINDOWS\System32\mszx23.exe
D:\DOCUME~1\jensm\LOKALE~1\Temp\tmp1E.tmp (Tøm din Temp mappe og tøm din papirkurv bagefter)



Og så skal du køre programmet CWS
Angående CWShredder:
.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Kør så programmet Ad-aware, fjern alt hvad den finder.

Genstart Normalt

Download og kør denne engangscanner: http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.
Avatar billede andersenph Nybegynder
20. januar 2005 - 09:02 #6
Arrh denne skal ikke med:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://post6.stam.dk/servlet/webacc
Den lader du bare være.
Avatar billede andersenph Nybegynder
20. januar 2005 - 09:26 #7
Vi bliver nødt til at finde ud af, hvad vi er oppe imod.
Jeg skal have dig til at sende filerne til undersøgelse på en side, hvor de bliver scannet af mange scannere på een gang.

Prøv at uploade disse filer en af gangen hos Jotti:
http://fromsej.dk/Vejledninger/billman/jotti.html

D:\WINDOWS\System32\mszx23.exe
winupdate63907169[1].exe
tmp1E.tmp

Fortæl os, hvad du får af tilbagemelding på det.
Avatar billede andersenph Nybegynder
20. januar 2005 - 09:44 #8
Du er meget sårbar uden opdateret windows xp. Hent SP1 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Derefter henter du alle kritiske sikkerhedsopdateringer her:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da
Til sidst går du i start -> programmer -> windows update og scanner for opdateringer. Installer dem du får anbefalet. Dog ikke SP2. Den må først komme på, når din maskine er erklæret ren.
Avatar billede andersenph Nybegynder
20. januar 2005 - 09:45 #9
sikke noget pladder......
Glem det.
Avatar billede andersenph Nybegynder
20. januar 2005 - 10:58 #10
Forresten her er upload siden:
http://virusscan.jotti.dhs.org/
Avatar billede jenskmo Nybegynder
20. januar 2005 - 11:56 #11
den der mszx23. exe får jeg ikke lov til at slette compen siger den er i brug af et andet program. har eller startet op under fejlsikret tilstand og er ikke koblet på nettet, de to andre filer fra hijacken findes ikke.
Avatar billede fromsej Praktikant
20. januar 2005 - 12:07 #12
Kopier teksten mellem de stiplede linier ind i notesblok, gem det som Slet.bat
Dobbeltklik på Slet.bat

----------------
CD\
del D:\WINDOWS\System32\mszx23.exe /f
----------------

Så skulle filen gerne forsvinde.

Har du et andet styresystem på C:\ siden Windows ligger på D:\ ?
Avatar billede andersenph Nybegynder
20. januar 2005 - 12:08 #13
Jeg ved det. Vi er i gang med at finde en kur til den infektion. Jeg er i gang med en "tvilling" til dit problem, også her på Eksperten.

Hent og pak dette program ud på dit Skrivebord.

http://www.fbeej.dk/Programmer/FindItNT2KXP.zip

Kør "find.bat" - programmet laver en log, som du også skal lægge herind.
------------------------------------------------------------

Hent dette lille værktøj fra Option^explicit:

http://downloads.subratam.org/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.
Avatar billede jenskmo Nybegynder
20. januar 2005 - 12:32 #14
her er loggen fra find.bat
Warning!XP This utility will find legitimate files in addition to malware. 
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Disken i drev D har ikke noget navn.
Diskens serienummer er 743A-D80C

Indhold af D:\WINDOWS\System32

20-01-2005  10:30    <DIR>          dllcache
24-12-2004  12:25                5 AuxDrv32_g.dlx
21-12-2004  11:29            6.144 access.ctl
02-09-2004  09:36    <DIR>          Microsoft
              2 fil(er)            6.149 byte
              2 mappe(r)  4.904.439.808 byte ledig

------- Hidden Files in System32 Directory -------

Disken i drev D har ikke noget navn.
Diskens serienummer er 743A-D80C

Indhold af D:\WINDOWS\System32

20-01-2005  10:30    <DIR>          dllcache
24-12-2004  12:25                5 AuxDrv32_g.dlx
21-12-2004  11:29            6.144 access.ctl
21-11-2004  18:17    <DIR>          GroupPolicy
02-09-2004  09:02              488 WindowsLogon.manifest
02-09-2004  09:02              488 logonui.exe.manifest
02-09-2004  09:02              749 nwc.cpl.manifest
02-09-2004  09:02              749 sapi.cpl.manifest
02-09-2004  09:02              749 cdplayer.exe.manifest
02-09-2004  09:02              749 wuaucpl.cpl.manifest
02-09-2004  09:02              749 ncpa.cpl.manifest
              9 fil(er)          10.870 byte
              2 mappe(r)  4.904.431.616 byte ledig

---------- Files Named "Guard" -------------

Disken i drev D har ikke noget navn.
Diskens serienummer er 743A-D80C

Indhold af D:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Disken i drev D har ikke noget navn.
Diskens serienummer er 743A-D80C

Indhold af D:\WINDOWS\System32

21-12-2004  16:20            3.126 tempimg.tmp
09-10-2001  13:00            2.660 CONFIG.TMP
              2 fil(er)            5.786 byte
              0 mappe(r)  4.904.431.616 byte ledig

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"=hex(2):64,72,63,74,31,36,2e,64,6c,6c,00
"Startup"="MeMessager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

Systemet kan ikke udf›re det angivne program.

-------------- Locate.com Results ---------------

det sidste program kunne jeg i få til at virke , har ventet 10 min på compare men intet skete

jeg kunne iøvrigt ikke slette exe filen med det lille trick i foreslog med at kopiere den ind i en tekstfil og omdøbe den. desværre.

dejligt at vide i kæmper. i er de sande virus helte
Avatar billede andersenph Nybegynder
20. januar 2005 - 12:54 #15
Tak for de pæne ord. Denne log gir mig sq grå hår...

Jeg kan ikke rigtig finde noget i FindIt

http://housecall.antivirus.com/
Prøv at tage et onlinscan her. Hos den anden fandt vi et par trojanere...
Avatar billede jenskmo Nybegynder
20. januar 2005 - 15:42 #16
housecall vil ikke kører den fortæller der kører en anden hosecall i forvejen og det fatter jeg ikke, jeg har lukket avg ned.
shit shit
Avatar billede andersenph Nybegynder
20. januar 2005 - 15:49 #17
Vent på nyt, vi prøver at finde en løsning...
Avatar billede jenskmo Nybegynder
20. januar 2005 - 18:29 #18
fedt at i gider kæmpe
Avatar billede tonnybrandt Nybegynder
26. januar 2005 - 14:18 #19
Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
"salm"=-
"ovm"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-

-------------------------------------

Gem teksten mellen de stiplede liner som en tekstfil med navnet slet.bat og læg den på dit skrivebord.

-------------------------------------

attrib -h -r- s c:\windows\system32\mszx23.exe 
attrib -h -r- s c:\windows\system32\w32tm.exe
attrib -h -r- s c:\windows\system32\drct16.dll
attrib -h -r- s c:\windows\system32\cz.dll
attrib -h -r- s c:\windows\system32\vdmt16.sys
attrib -h -r- s c:\windows\system32\hz.dll
attrib -h -r- s c:\windows\system32\winlow.sys
attrib -h -r- s c:\windows\system32\wz.dll
attrib -h -r- s c:\windows\system32\p2.ini
attrib -h -r- s C:\WINDOWS\ovmt.exe
attrib -h -r- s C:\WINDOWS\System32\DSMANA~1.DLL
attrib -h -r- s C:\PROGRA~1\SEARCH~1
attrib -h -r- s C:\Program Files\AdStatus Service

del /f c:\windows\system32\mszx23.exe 
del /f c:\windows\system32\w32tm.exe
del /f c:\windows\system32\drct16.dll
del /f c:\windows\system32\cz.dll
del /f c:\windows\system32\vdmt16.sys
del /f c:\windows\system32\hz.dll
del /f c:\windows\system32\winlow.sys
del /f c:\windows\system32\wz.dll
del /f c:\windows\system32\p2.ini
del /f C:\WINDOWS\ovmt.exe
del /f C:\WINDOWS\System32\DSMANA~1.DLL

rd /q C:\PROGRA~1\SEARCH~1
rd /q C:\Program Files\AdStatus Service

md c:\windows\system32\mszx23.exe 
md c:\windows\system32\w32tm.exe
md c:\windows\system32\drct16.dll
md c:\windows\system32\cz.dll
md c:\windows\system32\vdmt16.sys
md c:\windows\system32\hz.dll
md c:\windows\system32\winlow.sys
md c:\windows\system32\wz.dll
md c:\windows\system32\p2.ini
md C:\WINDOWS\ovmt.exe
md C:\WINDOWS\System32\DSMANA~1.DLL

attrib +h +s +r c:\windows\system32\mszx23.exe 
attrib +h +s +r c:\windows\system32\w32tm.exe
attrib +h +s +r c:\windows\system32\drct16.dll
attrib +h +s +r c:\windows\system32\cz.dll
attrib +h +s +r c:\windows\system32\vdmt16.sys
attrib +h +s +r c:\windows\system32\hz.dll
attrib +h +s +r c:\windows\system32\winlow.sys
attrib +h +s +r c:\windows\system32\wz.dll
attrib +h +s +r c:\windows\system32\p2.ini
attrib +h +s +r C:\WINDOWS\ovmt.exe
attrib +h +s +r C:\WINDOWS\System32\DSMANA~1.DLL

-------------------------------------

Genstart i fejlsikret tilstand.

Dobbeltklik på remove.reg og sig ja til at flette.

Dobbeltklik på slet.bat og sig ja til at flette.

Kør HiJackThis og fix disse linier:
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe <--hvis den stadig er der

Og så gør vi det lige en gang til for en sikkerheds skyld:

Dobbeltklik på remove.reg og sig ja til at flette.

Dobbeltklik på slet.bat og sig ja til at flette.

Genstart i normal tilstand start en explorer og kom med en ny HiJackThis log.
Avatar billede tonnybrandt Nybegynder
26. januar 2005 - 14:21 #20
2 sek .... Den er desværre ikke helt iorden. Du får lige en anden der er helt korrekt om et par minutter
Avatar billede tonnybrandt Nybegynder
26. januar 2005 - 14:24 #21
Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
"ovm"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-

-------------------------------------

Gem teksten mellen de stiplede liner som en tekstfil med navnet slet.bat og læg den på dit skrivebord.

-------------------------------------

attrib -h -r- s c:\windows\system32\mszx23.exe 
attrib -h -r- s c:\windows\system32\w32tm.exe
attrib -h -r- s c:\windows\system32\drct16.dll
attrib -h -r- s c:\windows\system32\cz.dll
attrib -h -r- s c:\windows\system32\vdmt16.sys
attrib -h -r- s c:\windows\system32\hz.dll
attrib -h -r- s c:\windows\system32\winlow.sys
attrib -h -r- s c:\windows\system32\wz.dll
attrib -h -r- s c:\windows\system32\p2.ini
attrib -h -r- s C:\WINDOWS\ovmt.exe

del /f c:\windows\system32\mszx23.exe 
del /f c:\windows\system32\w32tm.exe
del /f c:\windows\system32\drct16.dll
del /f c:\windows\system32\cz.dll
del /f c:\windows\system32\vdmt16.sys
del /f c:\windows\system32\hz.dll
del /f c:\windows\system32\winlow.sys
del /f c:\windows\system32\wz.dll
del /f c:\windows\system32\p2.ini
del /f C:\WINDOWS\ovmt.exe

md c:\windows\system32\mszx23.exe 
md c:\windows\system32\w32tm.exe
md c:\windows\system32\drct16.dll
md c:\windows\system32\cz.dll
md c:\windows\system32\vdmt16.sys
md c:\windows\system32\hz.dll
md c:\windows\system32\winlow.sys
md c:\windows\system32\wz.dll
md c:\windows\system32\p2.ini
md C:\WINDOWS\ovmt.exe

attrib +h +s +r c:\windows\system32\mszx23.exe 
attrib +h +s +r c:\windows\system32\w32tm.exe
attrib +h +s +r c:\windows\system32\drct16.dll
attrib +h +s +r c:\windows\system32\cz.dll
attrib +h +s +r c:\windows\system32\vdmt16.sys
attrib +h +s +r c:\windows\system32\hz.dll
attrib +h +s +r c:\windows\system32\winlow.sys
attrib +h +s +r c:\windows\system32\wz.dll
attrib +h +s +r c:\windows\system32\p2.ini
attrib +h +s +r C:\WINDOWS\ovmt.exe

-------------------------------------

Genstart i fejlsikret tilstand.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT

Klik ROOT så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.

Luk regedit.

Dobbeltklik på remove.reg og sig ja til at flette.

Dobbeltklik på slet.bat og sig ja til at flette.

Genstart i normal tilstand start en explorer og kom med en ny HiJackThis log.
Avatar billede tonnybrandt Nybegynder
26. januar 2005 - 14:25 #22
Så er den ok.
Avatar billede tonnybrandt Nybegynder
27. januar 2005 - 10:19 #23
jenskmo > Ovenstående fix, var det der løste problemet i det andet spørgsmål som andersenph hentydede til i hans indlæg 20/01-2005 12:08:26
Spørgsmålet er her. http://www.eksperten.dk/spm/582413

Vi har set infektionen i endnu et par spørgsmål på Spywarefri, men kun i det ene spørgsmål her på eksperten, har vi fået en tilbagemelding, der siger at problemet er løst. De andre spørgsmål er endnu ikke afsluttet.
Avatar billede jenskmo Nybegynder
29. januar 2005 - 09:29 #24
Hej alle.
Jeg valgte den hårde løsning denne gang, formatering.
jeg syntes i har kæmpet flot og vil gerne lade jer alle 3 dele pointene. hvordan gør jeg det ?
Avatar billede tonnybrandt Nybegynder
29. januar 2005 - 11:55 #25
Jeg havde på fornemmelsen at det var blevet enden på det, siden du ikke straks vendte tilbage *s*

Det kræver så at vi lægger et svar, og her kommer mit.

Så du skal lige vente på at kalp og andersenph lægger svar.
Når det er sket, markerer du alle 3 navne samtidigt mede til venstre og trykker accepter.
Avatar billede andersenph Nybegynder
29. januar 2005 - 17:01 #26
Kommer her :O)
Avatar billede kalp Novice
29. januar 2005 - 17:05 #27
og jeg kommer her:)
Avatar billede jenskmo Nybegynder
29. januar 2005 - 23:02 #28
værsgo
Avatar billede kalp Novice
29. januar 2005 - 23:07 #29
Jeg bukker og takker:)
Avatar billede tonnybrandt Nybegynder
30. januar 2005 - 00:01 #30
Takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester