Trojan horse downloader.agent.aqn

http://arlet.dk/spybothjt.htm

Scan med spybot - smid derefter indhold af log fra Hijackthis herind.
Så kigger jeg på den.

Logfile of HijackThis v1.99.1
Scan saved at 15:23:49, on 11-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
e:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
e:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
e:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
e:\Program Files\ewido\security suite\ewidoctrl.exe
e:\Program Files\ewido\security suite\ewidoguard.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Razer\razerhid.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Razer\razerofa.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Screen Calendar\scrcal.exe
C:\Program Files\Microsoft Firewall Client 2004\FwcMgmt.exe
E:\Program Files\Folding@Home\winFAH.exe
E:\Program Files\Folding@Home\FahCore_78.exe
C:\WINDOWS\system32\rsvp.exe
E:\FTP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = uvnt7:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\razerhid.exe
O4 - HKLM\..\Run: [AVG7_CC] e:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Screen Calendar] "E:\Program Files\Screen Calendar\scrcal.exe" -m
O4 - Startup: Folding@Home 5.03.lnk = ?
O4 - Global Startup: Microsoft Firewall Client Management.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131574008968
O17 - HKLM\System\CCS\Services\Tcpip\..\{D851050D-7BD3-4343-A7C3-311D58DBBEC1}: NameServer = 212.242.40.3,212.242.40.51
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - e:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - e:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - e:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ewido security suite control - ewido networks - e:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - e:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - E:\Program Files\Sygate\SPF\smc.exe

O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\microsoft firewall client 2004\fwcwsp.dll

Og der er mere - jeg tjekker den når jeg er hjemme.

Human -> Det ville være en dårlig ide at slette de 010..

Vent med at gøre noget før john stigers kommer med en vejledning(uden de 010 linjer)

uhmm ok

Kigger på den nu :)

Til info, så er de 010´ere absolut ok :)

Din log er ren og fin.

Men tag en tur med mwav: http://www.spywareinfo.dk/download/mwav.exe
Genstart i fejlsikker tilstand.
Klik på mwav.exe, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Det tager lidt tid at scanne

Prøv bagefter dette:
Slå systemgendannelsen fra (http://www.spywarefri.dk/virusscannere.htm#alle)
Brug denne scanner og aktiver alle indstillinger i det:
http://www.mwti.net/antivirus/free_utilities.asp
Genstart og slp systemgendannelsen til igen.

Mon ikke det vil hjælpe...

HOV!
Dette glemmer du bare:
Prøv bagefter dette:
Slå systemgendannelsen fra (http://www.spywarefri.dk/virusscannere.htm#alle)
Brug denne scanner og aktiver alle indstillinger i det:
http://www.mwti.net/antivirus/free_utilities.asp
Genstart og slp systemgendannelsen til igen.

Asso.. systemgendannelse har aldrig været slået til. Og som du kan læse i mit spg. så HAR jeg prøvet med Kaspersky i fejlsikret tilstand.

Det er da helt ok at prøve med Kaspersky :)
Men så scan med MicroWorld AntiVirus Toolkit Utility: http://www.spywareinfo.dk/download/mwav.exe

Jeg prøver lige i slowmotion. Den fil du linker til indeholder den scanner jeg allerede har prøvet med i fejlsikrettilstand. Det dir den pakker sig ud i hedder altså kaspersky, så det gik jeg ud fra det hed.

aha - ok.
Ja den hedder ikke kaspersky :)

Jeg aner ikke hvilket fix der vil tage den trojaner, så får lige fromsej til at kigge forbi.

Ifølge AVG er det en falsk positiv.

Prøv denne scanner:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart i fejlsikret(tryk <F8> ved opstart).
Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Tror ikke den fandt noget..


Objects scanned: 87572
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 1533 Kb/s
Scan time: 00:23:28

Nej, så er min mistanke korrekt.
Det var en falsk positiv.
Prøv at opdatere AVG, kør så en nu scanning.
Finder den noget, så skriv sti og filnavn op, og læg det herind.

I går da jeg scannede med avg fandt den den.
Den opdatere så automatisk hver nat, og nu her hvor jeg scannede fandt den iikke noget så du har nok ret.

Smid svar hvis i skal have nogle poing :)

Kommer her.*S*

ok :)

Norton har en del remove tool: http://www.symantec.com/avcenter/tools.list.html
Ellers http://www.bitdefender.com/site/Download/browseFreeRemovalTool/
-Så skal vi bare vide hvad det er for en laban ;-)