trojan.vundo b

Ja, hent http://www.spychecker.com/program/hijackthis.html (HijackThis), og gem dem i mappen c:\xyz, som du opretter til dette formål.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind på www.eksperten.dk.

Jeg ser loggen igennem, men det bliver først i morgen formiddag.

Logfile of HijackThis v1.99.1
Scan saved at 01:22:19, on 29-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\NavNT\vptray.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
G:\Programmer\Internet Explorer\iexplore.exe
G:\WINDOWS\system32\wuauclt.exe
C:\xyz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - G:\WINDOWS\system32\URTTemp\netav.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [xyyblusjvnjj] G:\WINDOWS\System32\fbjvbxg.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O8 - Extra context menu item: &Google Search - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://G:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://G:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://G:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092951410796
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O20 - Winlogon Notify: NavLogon - G:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: netav - G:\WINDOWS\system32\URTTemp\netav.dll
O23 - Service: DefWatch - Symantec Corporation - G:\Programmer\NavNT\defwatch.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - G:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Intel File Transfer - Intel® Corporation - G:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - G:\WINDOWS\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - G:\Programmer\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

Det er nok den mest genstridige virus jeg nogensinde har haft, den vil bare ikke slettes, står den er i brug, har prøvet på alle mulige og umulige måder, gal det er belastende, har endda prøver både i alm. og i safe mode og slette den hvor netav står i hijackthis, det hjalp ikke en pind, kom i næste scanning alligevel.

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Slet denne mappe manuelt.. med mindre det noget du selv har installeret... tvivler jeg dog på

G:\WINDOWS\system32\URTTemp

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - G:\WINDOWS\system32\URTTemp\netav.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [xyyblusjvnjj] G:\WINDOWS\System32\fbjvbxg.exe
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O20 - Winlogon Notify: netav - G:\WINDOWS\system32\URTTemp\netav.dll

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet

Filen

G:\WINDOWS\System32\fbjvbxg.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Gå ud fra du slettede mappen URTTemp og der skal følgende også gøres.
Tryk start->kør og skriv "regedit"
marker denne computer i regedit vinduet
tryk rediger->søg og skriv "netav.dll" slet alt du finder.

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik ramt på det hele eller om noget er blevet overset:)

Har prøvet mig lidt frem, inden jeg skulle på job, må kigge på det når jeg kommer hjem senere. Men den mappe urtt kan ikke slettes overhovedet den er i brug, men om det kun fordi netav.dll er der, den ikke kan. Den netav var der ikke i hijackthis i fejlsikret tilstand, de andre ting er slettet. fbjvbxg.exe var ikke på puteren, efter den var slettet i hijackthis, og så nåede jeg ikke længere, men stadig det vigtigste den fil vil bare ikke slettes, er det fordi den bliver startet i winlogon eller noget, bare mærkeligt den var der i fejlsikret tilstand i aftes, men ikke i morges.

Du kan slette den sidste fil med
http://www.spywareinfo.dk/download/KillBox.zip

sig delete on reboot.
efterfølgende burde du kunne slette mappen, men det ikke så vigtigt hvis den er tom.

det prøver jeg, men bliver først i eftermiddag, men er den først slettet, går jeg da ud fra den er gone, men lægger alligevel en hijack ind her.

yes det skal du også:)

Logfile of HijackThis v1.99.1
Scan saved at 13:37:56, on 29-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\NavNT\vptray.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
G:\Programmer\Internet Explorer\iexplore.exe
G:\WINDOWS\system32\wuauclt.exe
C:\xyz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - G:\WINDOWS\system32\URTTemp\netav.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O8 - Extra context menu item: &Google Search - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://G:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://G:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://G:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092951410796
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: NavLogon - G:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: netav - G:\WINDOWS\system32\URTTemp\netav.dll
O23 - Service: DefWatch - Symantec Corporation - G:\Programmer\NavNT\defwatch.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - G:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Intel File Transfer - Intel® Corporation - G:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - G:\WINDOWS\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - G:\Programmer\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

Nu har jeg lavet en ny log, men netav er bare umuligt at slette, prøvede det program der, men kan ikke slette bare filen, melder fejl, ville gerne slette mappen, på reboot, men den var der bare igen da jeg startede op, kan godt li at Norton siger den er easy at flytte, det er den mest latterlige jeg nogensinde har haft.

Jeg er bare rimelig usikker på hvad det er selv om vi nu prøver at slette den..
hvad står der af info på filen ? når man vælge egenskaber på den?

Står bare det er en programudvidelse på 458 KB, kan se på symantec der er en removal til vundo, men den er ½ år gammel, dne her virus er helt ny, prøver det lige, men nu er jeg væk hjemmefra igen i 3 timer.

kan du slette i registry?

kan sagtens slette i registry, har prøvet både i normal og safe mode, og kommer hver gang igen efter reboot.

man kan ikke lave sin windows om til f.eks. i tirsdags, ved på den måde at afhjælpe problemet?

så nu er frustrationen her ved at overstige det normale8(

Tjek engang, den latterlige fil ligger i winlogon der kører hele tiden, står i joblisten, men du kan jo ikke slette den når den kører(i brug) men prøver jeg at stoppe winlogon kan man ikke, og prøver jeg i killbox, at stoppe winlogon, så rebooter den puteren, så det er lidt en ond cirkel, man kan på ingen måde jo stoppe det program som netav bruger så er man sgu lidt på herrens mark.

Hent DllCompare

http://download.broadbandmedic.com/DllCompare.exe
eller
http://www.fbeej.dk/Programmer/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar

ja og kopier log'en herind.



Hent silentrunner her:
http://www.silentrunners.org/Silent%20Runners.vbs

og kopir en log herind

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Start WingMan Profiler" = ""G:\Programmer\Logitech\Profiler\lwemon.exe" /noui" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "G:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"CloneCDElbyCDFL" = ""G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"QuickTime Task" = ""G:\Programmer\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ViewMgr" = "G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe" ["Viewpoint Corporation"]
"KernelFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"vptray" = "G:\Programmer\NavNT\vptray.exe" ["Symantec Corporation"]
"UserFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -u" [MS]
"NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}\(Default) = "MSEvents Object" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\URTTemp\netav.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal-ikon"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\WinRAR\rarext.dll" [null data]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Fælles filer\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! NavLogon\DLLName = "G:\WINDOWS\system32\NavLogon.dll" [null data]
INFECTION WARNING! netav\DLLName = "G:\WINDOWS\system32\URTTemp\netav.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Fælles filer\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "G:\Documents and Settings\Henrik\Lokale indstillinger\Application Data\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\
(Default) = "&Opslag"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\msjava.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Opslag"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "G:\Programmer\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "G:\Programmer\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

DefWatch, DefWatch, "G:\Programmer\NavNT\defwatch.exe" ["Symantec Corporation"]
DVD-RAM_Service, DVD-RAM_Service, "G:\WINDOWS\System32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
Intel File Transfer, Intel File Transfer, "G:\WINDOWS\system32\cba\xfr.exe" ["Intel® Corporation"]
Intel PDS, Intel PDS, "G:\WINDOWS\system32\cba\pds.exe" ["Intel® Corporation"]
Norton AntiVirus Client, Norton AntiVirus Server, "G:\Programmer\NavNT\rtvscan.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "G:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "G:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

fra silentrunners

kan slet ikke køre det der dllcompare, da det kører 16-bit dos eller noget ,det kan jeg ikke køre hverken normalt eller i safe mode.

winlogon.exe er en legal fil, og det er helt normalt at Windows genstarter, hvis du begynder at pille ved den.

Fik du prøvet Symantec's fixtool?
http://securityresponse.symantec.com/avcenter/venc/data/trojan.vundo.removal.tool.html

Klik start | kør, skriv cmd og tryk enter.
skriv
copy c:\windows\repair\autoexec.nt c:\windows\system32
og tryk enter.

og kør så dllcompare

ejvindh > hvor skriver han at han vil pille ved den? og ville da være rart hvis det værktøj fjerner den! provo infektion:)

Kommentar: bottos 29/04-2005 18:48:42 -- her taler bottos om at computeren genstarter når han/hun lukker winlogon ned :-)

Og ja, det kunne da være smart hvis fixtoolet virkede :-)

angående det med at logge ind

http://www.eksperten.dk/artikler/651

fixtool virker ikke, og jeg tror ikke jeg har helt styr på de ting jeg skal skrive der, er det to separate ting eller, må gerne skrive nøjagtigt tak.

Det her http://www.eksperten.dk/artikler/651
er blot en løsning til dit problem med at windows logger af lige efter du er logget på.

Kommentar: kalp
29/04-2005 21:09:13

er en løsning til dit 16-bit dos problem. altså så du kan køre dllcompare

Det er 2 seperate ting.

windows logger ikke af, det er der intet i vejen med, det eneste jeg har prøvet er at lukke processen winlogon, fordi den kører med den fil jeg skal have slettet, og kunne jeg stoppe processen så kunne jeg snildt slette netav.dll, men det er "klart" når jeg sletter winlogon så lukker puteren ned, det er såmænd det eneste

det jeg mente præcist er ikke helt med på hvad jeg skal skrive i cmd

windows ligger jo på g hos mig sorry, er i gang med dll

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

G:\WINDOWS\SYSTEM32\req.dll        Sun 24 Apr 2005  1.54.30  A.SH.        18.432    18,00 K
________________________________________________

1.358 items found:  1.358 files (1 H/S), 0 directories.
Total of file sizes:  289.304.273 bytes    275,90 M

Administrator Account =  True

--------------------End log---------------------

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Start WingMan Profiler" = ""G:\Programmer\Logitech\Profiler\lwemon.exe" /noui" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "G:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"CloneCDElbyCDFL" = ""G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"QuickTime Task" = ""G:\Programmer\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ViewMgr" = "G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe" ["Viewpoint Corporation"]
"KernelFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"vptray" = "G:\Programmer\NavNT\vptray.exe" ["Symantec Corporation"]
"UserFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -u" [MS]
"NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"THGuard" = ""G:\Programmer\TrojanHunter 4.2\THGuard.exe"" ["Mischel Internet Security"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}\(Default) = "MSEvents Object" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\URTTemp\netav.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal-ikon"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\WinRAR\rarext.dll" [null data]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Fælles filer\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]

Fik ikke det hele med, her er den rigtige

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Start WingMan Profiler" = ""G:\Programmer\Logitech\Profiler\lwemon.exe" /noui" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NeroFilterCheck" = "G:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"CloneCDElbyCDFL" = ""G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"]
"QuickTime Task" = ""G:\Programmer\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"ViewMgr" = "G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe" ["Viewpoint Corporation"]
"KernelFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -k" [MS]
"SunJavaUpdateSched" = "G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"vptray" = "G:\Programmer\NavNT\vptray.exe" ["Symantec Corporation"]
"UserFaultCheck" = "G:\WINDOWS\system32\dumprep 0 -u" [MS]
"NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"THGuard" = ""G:\Programmer\TrojanHunter 4.2\THGuard.exe"" ["Mischel Internet Security"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}\(Default) = "MSEvents Object" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\URTTemp\netav.dll" [null data]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal-ikon"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Real\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\WinRAR\rarext.dll" [null data]
"{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"]
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Fælles filer\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\Audiodev.dll" [MS]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{EBDF1F20-C829-11D1-8233-FF20AF3E97A9}" = "TrojanHunter Menu Shell Extension"
  -> {CLSID}\InProcServer32\(Default) = "G:\PROGRA~1\TROJAN~1.2\contmenu.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! NavLogon\DLLName = "G:\WINDOWS\system32\NavLogon.dll" [null data]
INFECTION WARNING! netav\DLLName = "G:\WINDOWS\system32\URTTemp\netav.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {CLSID}\InProcServer32\(Default) = "G:\Programmer\Fælles filer\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "G:\Documents and Settings\Henrik\Lokale indstillinger\Application Data\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "g:\programmer\google\googletoolbar1.dll" ["Google Inc."]

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\
(Default) = "&Opslag"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
  -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\msjava.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Opslag"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "G:\Programmer\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "G:\Programmer\Messenger\msmsgs.exe" [MS]


HOSTS file
----------

G:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
      1 of the IP addresses is *not* localhost!


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

DefWatch, DefWatch, "G:\Programmer\NavNT\defwatch.exe" ["Symantec Corporation"]
DVD-RAM_Service, DVD-RAM_Service, "G:\WINDOWS\System32\DVDRAMSV.exe" ["Matsushita Electric Industrial Co., Ltd."]
Intel File Transfer, Intel File Transfer, "G:\WINDOWS\system32\cba\xfr.exe" ["Intel® Corporation"]
Intel PDS, Intel PDS, "G:\WINDOWS\system32\cba\pds.exe" ["Intel® Corporation"]
Norton AntiVirus Client, Norton AntiVirus Server, "G:\Programmer\NavNT\rtvscan.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "G:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "G:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

okay du skal slette filen fra registry og i mappen G:\WINDOWS\system32\URTTemp

søg efter disse filer og slet dem med killbox også

req.dll
req.dat
ConMain.dat

hvad for en fil skal jeg slette i registry og i urtttemp?? netav, det kan ikke alde sig gøre, jo i registry, men så snart du har slettet den er den tilbage igen igen igen igen8((( prøver lige den andre.

jeg har ikke en eneste af de filer liggende, what so ever, har lige søgt i hele puteren

jo du har.. det kan jeg se du har her!

G:\WINDOWS\SYSTEM32\req.dll

og ja det kommer igen i registry fordi vi ikke har slettet disse filer jeg nævner:) så derfor skal du stadig slette i registry:)

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

så kan du se alle filer... hvis ikke så skal vi vist have fat i et andet værktøj!

andet værktøj så, for allerede da jeg selv kørte den ledte jeg og den var der ikke og er der stadig ikke8( kører med vis alle filtyper har gjort siden vi startede i går aftes

vent lidt, glemte operativ og filtypenavne

Jeg er ved at logge af for i dag. Jeg har lavet et fixe-forslag, som jeg poster hernedenunder. Du kan jo prøve det, hvis I løber tør for andre forslag.

Det er baseret på info fra denne side:
http://securityresponse.symantec.com/avcenter/venc/data/trojan.vundo.b.html


Kopiér det mellem linierne ind i notesblokken og gem filen på skrivebordet som fixserv.bat. Genstart i fejlsikret, og dobbeltklik på fixserv.bat, og sig ja til at ændre registreringsdatabasen (2 gange).

Rem -----------------
attrib -r -s -h G:\WINDOWS\system32\URTTemp\netav.dll
del /f G:\WINDOWS\system32\URTTemp\netav.dll
attrib -r -s -h G:\WINDOWS\system32\req.dll
del /f G:\WINDOWS\system32\req.dll
echo REGEDIT4 > c:\regist.reg
echo. >> c:\regist.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] >> c:\regist.reg
echo "netav"=- >>c:\regist.reg
echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}] >> c:\regist.reg
echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}] >>c:\regist.reg
c:\regist.reg
attrib -r -s -h G:\WINDOWS\system32\URTTemp\netav.dll
del /f G:\WINDOWS\system32\URTTemp\netav.dll
attrib -r -s -h G:\WINDOWS\system32\req.dll
del /f G:\WINDOWS\system32\req.dll
c:\regist.reg
del c:\regist.reg
Rem -----------------

ville have brugt et andet værktøj men da det er en trojan så kør lige en tur med trojanhunter

http://www.trojanhunter.com/

ps. ejvindh >> jeg kiggede på den her:)
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=42705

så nu er vi noget så langt her:

req.dll er slettet i registry og i system32

req.dat har jeg ikke, men kan se den i registry skal den slettes der????

req.dat og conmain.dat er i registry og ikke andre steder skal de slettes i registry?

har prøvet trojanhunter, fandt intet

yes der er en del som skal slettes i registry..
og efterfølgende burde den ikke kunne gendanne sig.

dvs. sletter i registry og genstarter og så burde problemet være væk og hvad med netav filen??

den skal du også slette. du skal slette alt vi har prøvet at slette indtil nu samt de nye filer:)

problemet med netav er det samme som hidtil den vil ikke væk. Kan slette de samme filer igen og igen i reg. når jeg er sluttet kan jeg starte forfra og de er der stadig, vel fordi den kører med winlogon eller hvad, det lyder håbløst at få den slettet eller hvad, ligner snart en reinstallation, men er sgu da åndssvagt det er en fil der står er let at fjerne på symantecs hjemmesiden, men den er kropumulig?

følge ejvindh's forslag

Kommentar: ejvindh
29/04-2005 21:55:06

det er en god måde at forsøge sig med!

hjalp heller ikke, men ok forsøgt.

Jeg bliver mere og mere målløs for hver gang det ikke vil8(

Jeg bliver lige nød til at have helt ny feedback på hvor vi er nået til:) bare så jeg ved hvad der mangler.
Hvad er der stadig tilbage på maskinen? undersøge det lige og send en ny hijackthis herind så jeg kan se om noget har ændret sig der.
Kør selv dllcompare og se om den stadig finder en dll fil.

Den er genstridig! Winlogon har intet med problemet at gøre. Det der måske forvirrer dig er, at netav.dll står i en O20-entry sammen med Winlogon, men det har altså intet med winlogon.exe at gøre.

Jeg har et nyt forsøg her:

Download hoster her:
http://www.greyknight17.com/spy/Hoster.exe

Kopier indholdet af den batchfil som jeg gav dig ovenfor ind i en ny fil, som du gemmer ude i roden af c-drevet (c:\) med navnet delvir.txt

Tag netværks-stikket ud af computeren.

Find din WinXP cd frem og sæt den i computeren. Genstart -- så skulle computeren gerne begynde at boote fra CD'en (ellers må du ind og sætte cd-drevet til at være primary boot device inde i bios). Tast R for at vælge "Repair a Windows XP Installation". Tast herefter C for at starte "Recovery Console". Vælg nummeret på den WinXp installation som du vil arbejde på, og indtast det lokale administrator-password. Tryk ENTER.

Så skulle du gerne nå frem til recovery-consolen. Her skriver du (efterfulgt af ENTER):
batch c:\delvir.txt c:\logdelvir.txt

Når programmet er færdig, prøver du at genstarte uden CD i drevet, til FEJLSIKRET tilstand.

Kør HJT og fix følgende entries:
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - G:\WINDOWS\system32\URTTemp\netav.dll
O20 - Winlogon Notify: netav - G:\WINDOWS\system32\URTTemp\netav.dll

Kør herefter Hoster, og klik Restore original hosts

Genstart til normal tilstand.
Lav en ny HJT log som du lægger herind
Lav en ny dllcompare, som du lægger herind
Find følgende fil, og læg indholdet af den herind:
c:\logdelvir.txt

Det er vigtigt at HELE denne procedure køres i den præcise rækkefølge, og uden afbrydelser. Hvis du alligevel bliver nødt til at afbryde (evt. fordi der er noget du bliver i tvivl om) så skal du bagefter starte forfra på proceduren.

ejvindh >> genstridig kan da vist ikke dække det:o) men det da godt med nogle udfordringer en gang imellem:))

bliver noget fuck da den cd er udlånt til en af mine venner8(
men her er da en hijack

Logfile of HijackThis v1.99.1
Scan saved at 10:24:10, on 30-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
G:\Programmer\Internet Explorer\iexplore.exe
G:\Programmer\ICQLite\ICQLite.exe
C:\xyz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - G:\WINDOWS\system32\URTTemp\netav.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ViewMgr] G:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programmer\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://G:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://G:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://G:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://G:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\WINDOWS\System32\msjava.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programmer\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092951410796
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: NavLogon - G:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: netav - G:\WINDOWS\system32\URTTemp\netav.dll
O23 - Service: DefWatch - Symantec Corporation - G:\Programmer\NavNT\defwatch.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - G:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Intel File Transfer - Intel® Corporation - G:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - G:\WINDOWS\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - G:\Programmer\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

angående symantecs removal tool..
slå du systemgendannelse fra og gør hvad de beskriver på siden?

har sat kryds i deaktiver systemgendannelse på alle drev, men den beder jo en om at køre en scan og så slette filen, det kan man jo bare ikke, ved ikke hvorfor de tror det er så let, prøver så at slette i registry alligvel, men de kommer hele tiden igen, jeg kan blive ved, men det er jo nok fordi jeg ikke kan slette filen.

okay, men vi mangler nogle detaljer for først kunne du ikke finde disse filer

req.dll
req.dat
ConMain.dat

men så fandt du dem og slettede dem.. skrev du. Er de der stadig? eller er de ikke slettet? eller er det kun den første du fandt?

Eller får du slettet alle filerne inklusivt G:\WINDOWS\system32\URTTemp\netav.dll
men de kommer bare tilbage efter genstart ? eller er der en af disse du ikke kan få slettet ligemeget hvad?

req.dll var der igen i registry, var ellers væk i går, men nu er den slettet, ligger ikke på puteren ellers
req.dat væk
conmain.dat væk

Netav kan jeg ikke slette, den kommer tilbage i registry efter jeg har slettet den, jeg søger og sletter, f3 næste objekt og sletter, og til sidst er den der ikke mere siger den, så prøver jeg forfra og søge på den, og er stadig inde i registry, så er den nøjagtig samme steder som hidtil, altså jeg kan blive ved og ved. Hvis f.eks. min norton er åbent og scanner, så finder den netav.dll og den den tæller for hvert sekund der går, som om den kører konstant, 3 min så har den fundet den fil 180 gange.

okay, så du kan altså ikke slette den her?
G:\WINDOWS\system32\URTTemp\netav.dll
eller du kan men den kommer igen? det står lidt uklart.. for hvis du ikke kan slette den overhovedet så skal vi bare have den slettet! hvis du kan men den kommer igen så skal vi have fat i noget andet.

jeg kan bare ikke slette filen, hverken normalt eller med killbox, eller med norton eller med trojanhunter eller noget som helst, det er bare den fucking fil der skal væk8)) du gør det godt, men du er min bedste ven i lang tid hvis du kan få den fjernet. Det er kun i registry den kommer igen, ikke i den mappe du skriver der kan den ikke sletes og alle tingene er også prøvet i fejlsikret tilstand.

Ejvindh's forslag er ellers super

Kommentar: ejvindh
29/04-2005 21:55:06

men prøv lige et slette den med

http://www.docsdownloads.com/Tier1/dr-delete.htm

så prøver jeg at finde noget fornuftigt frem!

okay her er det!

Hent dette FindNFix
http://downloadportal.dk/FINDnFIX.zip

omdøb filen FINDnFIX.zip til FINDnFIX.exe
dobbeltklik på filen. Den vil havne i dit c:/findNfix
dobbelt klik på filen !LOG!.bat

og kopir loggen herind!
nu satser vi på dejlige findNfix!

»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»
--The directory 'junkxxx' is now included as a Subfolder in the FINDnfix folder
and is the destination for the file to be moved..
-*Previous directions will no longer work...
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2900.2180 SP2
Filsystemtypen er NTFS.
G: er ikke ‘ndret.

30-04-2005
11:34am  up 0 days,  1:04

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
*For *Helpers/Mods and/or users that are not familiar with any of the
items on the scan results- I recommend using an alternative, once
you know what to look for!
»»»»»»»»»»»»»»»»»»***LOG!***(*modified 7/12)»»»»»»»»»»»»»»»»

»»»*»»»*Boards that are not personally authorised by me are not allowed to use this fix!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........
**File G:\FINDnFIX\LIST.TXT

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File G:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs =
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read            BUILTIN\Brugere
(IO)    ALLOW  Read            BUILTIN\Brugere
(NI)    ALLOW  Read            BUILTIN\Superbrugere
(IO)    ALLOW  Read            BUILTIN\Superbrugere
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     BUILTIN\Administratorer
(NI)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Read              BUILTIN\Superbrugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group HENRIK-YB0CE8ED\Ingen.
User is a member of group \Alle.
User is a member of group BUILTIN\Administratorer.
User is a member of group BUILTIN\Brugere.
User is a member of group NT AUTHORITY\INTERAKTIV.
User is a member of group NT AUTHORITY\Godkendte brugere.
User is a member of group \LOKAL.


»»»»»»Backups created...»»»»»»
11:34am  up 0 days,  1:05
30-04-2005

A          G:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 04-30-2005 keyback.hiv
A          G:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        287 04-30-2005 winkey.reg

G:\FINDNFIX\
  JUNKXXX        Sat 30 Apr 2005  11.34.30  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                        ?                                     
00001190:                                    vk                f AppInit_
000011D0:DLLs  G            vk                UDeviceNotSelectedTimeout
00001210:    1 5    f O    9 0      =t    vk      '        zGDIProce
00001250:ssHandleQuota"      vk                  Spooler2    y e s    _
00001290:            0  `          vk                5swapdisk    vk 
000012D0:              . TransmissionRetryTimeout            0  `     
00001310:            vk      '          USERProcessHandleQuota         
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                                               

---------- WIN.TXT
fùAppInit_DLLs֍æG
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000    00 00                                            |  ..


okay hjalp ikke

Lad os lige se om det kan gøres lettere først!

I fejlsikret tilstand skal disse forslag prøves

omdøb mappen her til noget andet. prøv at slette den. Hvis du kan omdøbe den men ikke slette den så genstart igen (stadig fejlsikret) og prøv så at slette den
G:\WINDOWS\system32\URTTemp\

præcis som før men denne gang med filen
G:\WINDOWS\system32\URTTemp\netav.dll

Hvis det ikke lykkes så prøv at flytte mappen her til et andet sted og slet den
G:\WINDOWS\system32\URTTemp\

prøv det samme med filen
G:\WINDOWS\system32\URTTemp\netav.dll

prøv at slette filen med
http://www.diamondcs.com.au/index.php?page=dellater

prøv at slette filen med
http://www.csc.calpoly.edu/~bfriesen/software/files/bdel32.zip

prøv at slette filen med
http://www.snapfiles.com/get/moveonboot.html

prøv at slette mappen med
http://www.dr-hoiby.com/WhoLockMe/


sorry vi skal igennem alt dette.

prøv også i fejlsikret tilstand dette

tryk start->kør og skriv "cmd"
skriv

cd..
og enter
cd..
og enter
til du havner i c:\

skriv så

RD /S G:\WINDOWS\system32\URTTemp\

og enter.. og sig ja til at slette

Jeg er lidt til og fra i dag, så jeg kaster lige nogle forslag ind fra sidelinien, og så kan I bruge dem, når det passer ind.

(1)
Mit første forslag er at få fat i din WinXP-cd!! Jeg tror altså ærlig talt at du har mere brug for den end din ven i øjeblikket. Fordelen ved at følge min kommentar fra 30/04-2005 09:54:45 er, at du kan komme til filerne uden at de kører i forvejen.

(2)
Download Unhackme fra dette link (gratis trial i 30 dage):
http://www.greatis.com/unhackme.zip

Pak det ud, og installer det.
Kør programmet og klik på "Check Me Now"
Finder den noget?

Hvis den finder noget:
Klik på Stop, vent til rensningen er færdig, genstart.

Kør herefter programmet, og klik igen på "Check Me Now"
Har det hjulpet? Hvis nej, så meld tilbage hvad det er den finder.

(3)
I forhold til mit fix fra 29/04-2005 21:55:06 skal jeg lige høre, om du overhovedet har et c-drev, som man kan gemme på -- ellers kan det forklare hvorfor fixet ikke virkede.

(4)
Prøv at køre fixet fra 29/04-2005 21:55:06 igen, men denne gang ved at du markerer det på skrivebordet (ved at klikke én gang på det), herefter klikker Start-kør.
I den box, der så dukker op skriver du
fixserv.bat >log.txt

Når scriptet så er færdig, skulle der gerne ligge en ny fil på skrivebordet, der hedder log.txt. Læg indholdet af denne fil herind.

ejvindh>> vildt sammentræf men der er lige blevet oprettet et nyt spørgsmål om præcis samme infektion!!

http://www.eksperten.dk/spm/614298

Kalp: Ja, det var da pudsigt :-)

bottos: Jeg ser at Symantec lige har opdateret deres Removal tool (29/4), det kunne måske være en ide at downloade den nye version, og se om det giver hul igennem:
http://securityresponse.symantec.com/avcenter/FxVundoB.exe

Hvis den nye udgave af FxVundoB heller ikke er succesfuld, kunne det være smart for os at vide hvorfor. Derfor ville det være godt, hvis du kunne køre det med en logfil koblet på.

Når du har downloadet det nye fix, så gør følgende:
Kopiér denne linie ind i notepad:
FxVundoB.exe  /LOG=g:\log.txt /START

Klik på Fil-Gem som, vælg alle filtyper, kald filen fix.bat og gem filen samme sted som du har gemt FxVundoB

I stedet for at dobbeltklikke på FxVundoB, så kører du den nye bat-fil som du har lavet. Den vil automatisk sætte FxVundoB til at scanne, og derefter vil der findes en fil i roden af dit G-drev, der hedder log.txt

Læg indholdet af denne fil herind.

Hej drenge, hør min røst, jeg er glad, det removal tool fra symantec flytter den så nu er den gone, så i har jo ikke svaret rigtigt so no point8)))) så lad gå da, godt job drenge.

Ejvindh >> smid en kommentar når kommer så jeg kan oprettet et spørgsmål med nogle points til dig:)

bottos >> Klarede det nye removal tool det og kørte du den i normalt tilstand?

husk at slå systemgendannelse til igen.

og send mig lige en log fra hijackthis så vi lige kan se at den er væk:)

Bottos: Alle tiders. Dejligt at den forsvandt. :-) Som Kalp siger, kan det være en god ide at sende en ny HJT-log ind til check. Vi HJT-loggere kan så godt lide at se en ren log, for at være helt sikre på at det er væk ;-)

Kalp: Kan du ikke bare oprette spørgsmålet, og så lægge et link herind. Så skal jeg nok engang ved lejlighed lægge et svar (er som sagt lidt on&off i dag :-))

http://www.eksperten.dk/spm/614319