This is my loggy day!

Jeg ville foreslå dig at følge denne vejledning http://www.eksperten.dk/artikler/954 - men uden internet kan det jo være svært ;) Desuden vil din pc ikke holde mange minutter alligevel uden SP2.

Jeg beder bare om at en, der ved mere end mig, gider læse min log - og intet som helst andet, der ikke er umiddelbart relevant.

Da jeg tilsyneladende ikke kan skelne melem hvad der er relevant eller ej, så vil jeg overlade scenen til dem der kan ;-)

Fra en anden pc skal du downloade følgende programmer:

-- http://danborg.org/spy1/HJT/alternativ.exe

-- http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

-- Læg dem så over på den syge computer. Pak SDFix.zip ud til en mappe på skrivebordet.

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Gå så ind i mappen SDFix, som du hentede tidligere. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

-- Lav så en ny log med alternativ.exe (er en omdøbt udgave af den nyeste version af Hijackthis), som du også lægger herind til check.

... er der nogen speciel grund til at du ikke har noget som helst WindowsUpdate elementer ? Især M$ ServicePack2 ?
For så er du næsten selv ud om det ->
"Ubeskyttede pc’er holder i 20 minutter" http://forum.mib-eu.dk/forum_posts.asp?TID=44  - som du så er et bevis på...

Der er en del uønskede elementer i din Log; lav <ejvindh> guide dig igennem... formegentlig over flere omgange...

Hej Ejvind,
Hermed rapport fra SDFix samt ny log fra alternativ.exe:

SDFix: Version 1.22
-------------------------

Scan Time / Date: 22:45:42,66 / 14-09-2006


Microsoft Windows XP [Version 5.1.2600]

Running from: C:\Documents and Settings\Louise\Desktop\SDFix


                                Stage One...


Checking Services...

Service Name:
------------------


File Path:
------------


Removing Services:
------------------------



Repairing Registry...

Restoring Default Hosts File...

Stage One Complete

Rebooting!

                                Stage Two...

Registry Cleaning Finished...

Checking For Malware Files:
----------------------------------

C:\WINDOWS\system32\stonedrv.exe
C:\WINDOWS\system32\TheMatrixHasYou.exe

Backing Up and Removing any Files Found...

                                Final Check:

Remaining Services:
------------------------


Remaining Files:
-------------------

                                  FINISHED

-----------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 22:53:13, on 14-09-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\aspi98169.exe
G:\virusscanner\aswUpdSv.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\System32\MsgSys.EXE
C:\Program Files\NavNT\vptray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ntsystem.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
G:\Spybot - Search & Destroy\SpySubtract\SpySub.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Louise\Desktop\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [avast!] G:\VIRUSS~1\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.5\THGuard.exe"
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe
O4 - HKLM\..\Run: [ec58dfc3.exe] C:\WINDOWS\System32\ec58dfc3.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ec58dfc3.exe] C:\Documents and Settings\Louise\Local Settings\Application Data\ec58dfc3.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: SpySubtract.lnk = G:\Spybot - Search & Destroy\SpySubtract\SpySub.exe
O9 - Extra button: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: i-Nav Help - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: i-Nav Options - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113fd.bay113.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~2\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\system32\cfgmngr32.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi98169.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - G:\virusscanner\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - G:\virusscanner\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - G:\virusscanner\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - G:\virusscanner\ashWebSv.exe" /service (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

---------------------------------------------------------------------------------
Jeg ser at nye er kommet til siden den gamle log - er det bare fordi de er blevet synlige? (især ovenstående "speaker phone" og defwatch-tingen.

På forhånd tak,
Louise

-- Hent S!Ri's SmitfraudFix.zip og pak det ud til dit Skrivebord.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.

NB: Filen "process.exe" som ligger i dette værktøj bliver af visse antivirus-programmer identificeret som "RiskTool". Det har dog ikke noget på sig!

-- Hent Dr. Web, og gem det på skrivebordet:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

-- Hent "SuperAntiSpyware free" herfra:
http://www.spywarefri.dk/downloads1.htm
Installer, og opdater scannereren. Men vent med at scanne.

Fuld vejledning til superantispyware finder du her:
http://www.spywarefri.dk/manualer/superantispyware-manual.htm

-- Tast ctrl-alt-delete, Klik på Jobliste/Taskmanager, Processer/Processes. Find nedenstående processer, højreklik på dem og vælg afslut proces.
aspi98169.exe
ibm00001.exe

-- Klik på Start-kør. Skriv: Services.msc, og klik på OK.
Find følgende services, højreklik på dem og vælg egenskaber. Under starttype vælger du deaktiveret. Klik også på Stop:

Microsoft ASPI Manager

-- Klik Start-kør, skriv cmd, og klik på OK. I det sorte billede skriver du:
sc delete "aspi113210" <efterfulgt af Enter>
Luk det sorte billede.

-- Kør Hijackthis, vælg "Do a system scan only", sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\System32\ntsystem.exe
O4 - HKLM\..\Run: [ec58dfc3.exe] C:\WINDOWS\System32\ec58dfc3.exe
O4 - HKCU\..\Run: [ec58dfc3.exe] C:\Documents and Settings\Louise\Local Settings\Application Data\ec58dfc3.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\system32\cfgmngr32.dll (file missing)
O20 - Winlogon Notify: yvdrgb - C:\WINDOWS\SYSTEM32\yvdrgb.dll

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Du skal nu til at slette. Som indledning hertil skal du have slået "Udvidet filvisning" til:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

-- Slet herefter følgende (hvis du kan finde dem):
Mapper:
C:\Program Files\Common Files\Microsoft Shared\Web Folders\

Filer:
C:\WINDOWS\System32\ipv6mons.dll
C:\WINDOWS\System32\ntsystem.exe
C:\WINDOWS\system32\cfgmngr32.dll
C:\WINDOWS\SYSTEM32\yvdrgb.dll
C:\WINDOWS\System32\aspi98169.exe
C:\WINDOWS\System32\ec58dfc3.exe
C:\Documents and Settings\Louise\Local Settings\Application Data\ec58dfc3.exe
C:\winstall.exe

-- Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Det vil også checke om systemfilen wininet.dll er inficeret. Hvis den er det, vil du blive bedt om tilladelse til at erstatte den med en anden. Her skal du vælge "Yes", ved at taste "y".

Programmet bliver muligvis nødt til at genstarte undervejs. Herefter vil der dukke en liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden.

-- Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til. Lad den slette hvad den finder (say Yes to all)
Når den skriver "Select object for Scanning" nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet - File Types, prik i - All Files
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Move.
Fjern flueben ved "Prompt on action"
Ved "Move path", skriver du i tekstboksen "c:\" Så der kommer til at stå "c:\infected".
Skift til fanbladet Log File. Der fjerner du flueben ved: "Scanned objects" og "Archivers name".
Tryk på Anvend

Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.
Tryk så på den grønne pil nederst til højre, så scanner den.
Lad den slette/move hvad den finder (Say yes to all)

Når scanningen er færdig, gå op i file – Tryk på- Save Report list.

Så ligger der en en fil der her hedder "drweb.csv" på skrivebordet. Luk Programmet

-- Start SuperAntispyware, klik "Scan your computer", sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scannereren fjerne det.

-- Genstart til normal tilstand. Åbn SuperAntispyware-scannereren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med en ny HijackThis log. Kopiér også indholdet af drweb.csv og loggen fra SmitfraudFix (C:\rapport.txt) herind.

Hov for pokker. Jeg opdager lige at der er en infektion mere. Inden du gør ovenstående, bør du derfor først gøre følgende:

Hent haxfix, og gem den på skrivebordet:
http://users.telenet.be/marcvn/tools/haxfix.exe

Dobbeltklik på haxfix.exe og installér haxfix (standard installations-stien er c:\programmer\haxfix eller c:\program files\haxfix). Når installationen er færdig, skal du sikre dig, at der er flueben i "Launch HaxFix". Klik på "Finish"

Et rødt dos-vindue vil åbne, med følgende muligheder:
1. Make logfile
2. Run auto fix
3. Run manual fix
E. Exit Haxfix

Vælg option 2 ved at taste 2, og trykke Enter. Hvis der findes en infektion, vil du få besked på at lukke alle åbne vinduer. Gør dette (undtaget haxfix-vinduet selv). Tast Enter. Computeren vil nu genstarte. Efter genstarten vil en logfil åbne  (c:\haxfix.txt). Indholdet af denne log, må du gerne lægge herind, sammen med en ny HijackThis log.

Hej Ejvind,
Jeg forsøger at gøre det iaften, det ser ihverfald professionelt og grundigt ud :)

Spørgsmål: Når du taler om HijackThis, skal det så være min orig eller den nye alternativ-version?

Det skal være alternativ-versionen. Din egen version er for gammel, og kan du egentlig roligt slette.

Hej Ejvind,
Jeg har ikke glemt dig, undskyld manglende tilbagemelding...har ikke lige kunnet komme online. Anyway, jeg har alle logs osv derhjemme, hælder dem på her senere eller imorgen - ville bare lige give lyd.

Jeg kørte en super Antispyware scan i lørdags og da den bad om at blive rebootet, gjorde jeg det - siden har computeren ikke kunnet komme op at køre, jeg har forsøgt at starte i safe mode, med last known settings etc.
Den starter fint nok frem til stadiet lige inden desktoppen kommer frem, så siger det "klik" og den rebooter igen (og sådan bliver det ved).

Baseret på det ville jeg ikke umiddelbart anbefale det program, jeg har ikke været ude for ovenstående før (selvom det selvfølgelig kan være svært at afgøre hvor meget gøgl der har været i systemet i forvejen).

Jeg synes du er lidt for hård ved SAS. Din maskine var virkelig hårdt inficeret. Der var mindst 2 rootkits på din computer, og det er meget vel muligt at nogle af infektionerne har overtaget nogle systemfiler, som så er blevet fjernet af SAS.

Hvis du vil have computeren op at køre igen, vil jeg anbefale dig at køre en repair:

Lav en repair. Du skal bruge din XP-cd, og din CD-key:  Boot op med din Windows XP-cd i drevet. husk at din bios skal stå til at have cdrom som first bootdevice.

1:Det første du skal gøre er at boote op på din Windows XP CD, husk at i din bios skal First bootdevice være sat til CDrom. Når den har installeret nogle foreløbige filer skal du;
2: springe det første tilbud om repair i Consolemode over og fortsætte din installation (nyinstalation)
3: Nu kan du så vælge hvilket drev din nye installation skal ligge på og her er det gerne dit C drev.
4: Og nu fortæller den dig der er et styresystem på dette drev og om du vil slette det (L) eller du vil lave en repair (R). Det er her du skal trykke på R.
5: Og du vil nu se, at den laver en helt ny installation, men den beholder alle dine nuværende indstillinger, dokumenter, programmer og skrivebordet udseende er også intakt, men nu skulle du gerne være sluppet af med dine fejl og mangler.
Dog skal der gøres opmærksom på at alle updates skal lægges ind igen. Desuden skal nye opdaterede drivere, som man selv har lagt ind, installeres igen.

Hvis din XP-cd er af ældre dato, og du har mulighed for det, vil det være en god ide, hvis du kan få brændt SP2 ned på en CD også, idet Repair fører din installation tilbage til det sikkerhedsniveau som er på CD'en -- og det er ikke så godt at være på nettet helt uden sikkeheds-opdateringer. Du finder SP2 som en løs fil (der kan brændes over på en CD og køres efter endt repair) her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Det ka' ikke gentages tit nok:

M$ ServicePack2 på FØR FØR FØR nogen som helst forbindelse til internettet !!! STIKKET UD !!!

Provokation: Det er kun lovlige XP'er der kan instaleres SP1/2 på ... Men det er vel ikke derfor den mangler ?

Hej Ejvind,
Det var nu ikke helt sådan ment, det var derfor jeg skrev det med gøgl i pc'en..vidste ikke hvor slemt det var.
Tak for gennemgangen, jeg forsøger at få den genstartet eller er det bare ærgerligt. Jeg har givet dig dine meget velfortjente points (så kan du jo hoppe på, hvis jeg starter en ny tråd med den nuværende situation).

DR1, tak for input(s) - jeg kender godt SP2 og kender lige så mange computere der er crashet ved installation af samme...jeg finder ud af det selv, ellers tak for hjælpen (og selvfølgelig er den ikke ulovlig, ikke at det overhovedet vedkommer dig).

Jeg takker for point. Hvis du får den op at køre igen synes jeg nu bare du skal fortsætte i denne tråd, for sandsynligvis er computeren ikke ren endnu. Og der er faktisk ikke så mange supportere i Danmark, som vil kunne fixe disse infektioner.

Angående SP2, så er jeg også enig med Dr1 i, at det bør du lægge ind. Det med at computerne crasher er så vidt jeg ved et overstået kapitel. I hvert fald har jeg lagt det ind på mange computere, uden at der er sket noget ved det. Og selvom man kan rense computerne for mange infektioner, så er det nu stadig bedre at forebygge end at helbrede. Så i længden har du en mere stabil computer ved at opdatere. Foruden naturligvis at man ikke er så udsat for at blive overvåget af spionprogrammer og keyloggere, o.lign. Men det er naturligvis dit eget valg :-)

(Tak <ejvindh> ...)

Ejvind, jeg har lagt XP CD'en i og den står korrekt i BIOS setup - men der sker ingenting...kan drevet være "ramt"?

Nej, det vil være meget usandsynligt. Så skulle virussen være gået ind i bios, og selvom det er teoretisk muligt, så er det meget usandsynligt -- eftersom Bios er meget forskellig på tværs af forskellige computere.

Har du prøvet om cd'en kan boote på andre pc'ere -- dvs. at ved en genstart af en anden computer med cd'en i, så bliver der indlæst fra CD'en?