Avatar billede ressel87 Nybegynder
04. august 2005 - 21:38 Der er 11 kommentarer og
1 løsning

Virus over MSN messenger..

Jeg har fået en virus af en art, eller noget spyware.

jeg har dog fået fjernet den sådan at den ikke genere mig mere.
men vil høre om i kan hjælpe mig med evt. fortælle mig om jeg har slettet alt.

altså jeg startede med at modtage en besked i msn messenger med en url til den her side:

04-08-2005  19:09:13 hey, is this you?
04-08-2005  19:09:25 http://www.vbulettin.com/msn.php?email=ressel87@hotmail.com

hvorefter jeg tjekkede den url og fik en fil som hedder ressel87@hotmail.exe den fil fik så ipconfig.exe i system32 mappen til at åbne og lukke sig.. efter et genstart kunne jeg ikke bruge internet explorer, msconfig, og hijackthis medmindre jeg var i fejsikret tilstand.

jeg har så nu fixed alt jeg ikke lige kunne genkende/der så mistænkeligt ud i hijackthis.
og slettet filen ipconfig.exc. det skal dog siges jeg kunne godt slette ipconfig.exe mens jeg var i windows i normal tilstand men efter 2 sekunder lå den der igen.

her er lige en log:

Logfile of HijackThis v1.99.1
Scan saved at 21:29:06, on 04-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\00THotkey.exe
C:\Programmer\Apoint2K\Apoint.exe
C:\Programmer\TOSHIBA\TouchED\TouchED.Exe
C:\Programmer\TOSHIBA\PadTouch\PadExe.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\programmer\steam\steam.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Apoint2K\Apntex.exe
C:\Programmer\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmer\X-Micro Technology Corporation\X-Micro WLAN 11g USB adapter\XMicroWlan.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programmer\Opera\Opera.exe
C:\Documents and Settings\MP3\Skrivebord\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programmer\TOSHIBA\Free Update Service\splash.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmer\Fælles filer\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmer\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programmer\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programmer\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmer\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programmer\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Hurtig start af Microsoft Office OneNote 2003.lnk = C:\Programmer\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: X-Micro WLAN 11g USB Utility.lnk = C:\Programmer\X-Micro Technology Corporation\X-Micro WLAN 11g USB adapter\XMicroWlan.exe
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\inetrepl.dll
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programmer\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E938871B-C28C-4E7F-8D87-92CDC662F542}: NameServer = 193.162.153.164,194.239.134.83

nu virker Iexplorer men opeara kan ikke logge på internettet.. og msconfig virker også..
Avatar billede tfswebguy Nybegynder
04. august 2005 - 21:47 #1
Øhm, hvad har du fjernet helt præcist? For har også fået den der, og kender flere der har.. Vil gerne lave en fix mod den
Avatar billede ressel87 Nybegynder
04. august 2005 - 21:51 #2
kan ikke huske hvad jeg slettede.. slettede en del..
Avatar billede tfswebguy Nybegynder
04. august 2005 - 21:52 #3
filer?
Avatar billede ressel87 Nybegynder
04. august 2005 - 22:09 #4
nej i hijackthis
Avatar billede impala_leg Nybegynder
04. august 2005 - 22:13 #5
hmm... det er altså ikke særlig smart at skrive det link.. sæt nu folk trykker på det.. det er jo ikke meningen at vi skal sprede det videre, men få slettet lortet i stedet for :-)
skriver her inde
http://www.eksperten.dk/spm/637402
Avatar billede ressel87 Nybegynder
04. august 2005 - 22:17 #6
kan man redigere i sit spørgsmål?
Avatar billede impala_leg Nybegynder
04. august 2005 - 22:22 #7
hmm... du kan jo kopiere det over i notepad og lukke annoncen og oprette en ny? ved faktisk ikke om man kan redigere i den, tænkte bare det måske ikke var så smart med et link hvor folk kunne komme til at hente virus fra..
Avatar billede tonnybrandt Nybegynder
05. august 2005 - 00:27 #8
Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://danborg.org/spy1/HJT/hijackthis.exe
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger jeg på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede ressel87 Nybegynder
05. august 2005 - 06:38 #9
hmm.. for sent..
Avatar billede ressel87 Nybegynder
05. august 2005 - 06:39 #10
kan man bruge systemgendannelse?
Avatar billede tonnybrandt Nybegynder
05. august 2005 - 07:25 #11
Du kan gendanne det du har fixet ved at starte HiJackThis og trykke Config | backups. Her markerer du linierne en efter en og trykker restore.

Det er nemmere for "os" hvis vi kan se infektionen i loggen istedet for som her, hvor vi må gætte os til hvordan loggen så ud før du selv fixede.
Avatar billede ressel87 Nybegynder
05. august 2005 - 14:09 #12
Sag lukket, jeg har brugt norton ghost. og gendannet maskinen til dengang jeg fik den og kopieret alle filer over på en anden computer. ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester