Efter msn virus.. Hijacklog gennemgang

Er det denne du har brugt?

http://sosvirus.changelog.fr/MSNFix.zip

http://www.eksperten.dk/artikler/1124

nej til den første.. men har lige fulgt den anden og skal igang med at scanne.. vil gerne være sikker på at den er væk

Her er log efter den scanner du anbefaler:

MsnVirRem Log by Skate_Punk_21

Fix running from: C:\Documents and Settings\Brian K\Skrivebord\MSN VIRUS
23-07-2007
19:57:08

---Infection Files Found---

NO INFECTION FILES FOUND - Cleaning Aborted.


Tilsyneladende er der ikke noget..

Godt, og din Hijackthislog er OK.
Hvordan kører maskinen?

Hvad var det for en guide på nettet du fandt? MsnVirRem gør nemlig intet for mig...

Prøv denne:
http://www.forospyware.com/Msncleaner/MsnCleaner_eng.zip
Vær opmærksom på at den ændrer din startside, til forospywareinfo.com
Det er jeg ikke imponeret over, men det er take it or leave it.

Alternativet er her:
Prøv dette værktøj:
http://sosvirus.changelog.fr/MSNFix.zip
Det burde tage den, men vi har ikke tjekket værktøjet igennem.

Pak filen ud i en mappe - kør filen "MSNFix.bat"
Skriv dette i vinduet>

E for Engelsk - tast Enter.

R for søg - tast Enter

A for "View Logfile And Exit" - tast Enter.

Nu åbnes Notesblok, kopier teksten herind I denne tråd.

Kør så  "MSNFix.bat"  igen >

E for Engelsk - tast Enter.

R for søg - tast Enter

R for Clean the Registry and Quit.

Nu skulle den være væk.

From..

Maskinen køre fint.. har ikke oplevet noget.. Men det var mere hcis den lå latent og lurede efter keystrokes og nøgler..

Jeg er ikke sikker på jeg vil foretage mig yderligere. Også fordi, som du selv siger, at I ikke har testet i bund med den msnfix..

Gorgeus>> Det var en samling værktøjer som skulle bruges i en sekvens.. Har ikke lige gemt tråden.. med det var her jeg fandt den (eksperten.dk)
Håber du kommer af med din.. hvis ikke du  kan finde den tog jeg en kopi til eget brug.. den vil jeg gerne maile dig.. hvis der er ..

Hej Fromsej,

jeg fortsætter i denne tråd, som du bad mig om. Jeg har som sagt fået den latterlige MSN worm, fordi jeg i min uendelige dumhed klikkede på viruslinket :( (var ved at få overført en fil fra en anden, og på en eller anden måde troede jeg, at det var den, der var kommet over - den fejl laver jeg ikke igen ;))

Jeg har prøvet at køre Avast! og SUPERAntiSpyware uden held. Dernæst CCleaner, MsnVirRem og MsnClean ligeledes uden de fandt noget. Jeg prøvede MSNfix som du anbefalede og startede med at slette en trojan, som avast! fandt, da jeg startede programmet? Efter det virker det nu fint, men måske det forsøger at smide sit eget crap ind? Anyways 2 logs følger og en kæmpe tak for at nogen gider hjælpe :)



MSN_Fix 1.339 

C:\Documents and Settings\Jakob Allentoft\Desktop\msnfix
Scan done at 24-07-2007 -  8:30:58,73 By Jakob Allentoft
normal mode   
   

************************ Checking Folder     

... C:\Temp\




************************ Deleting malware Files     
   


************************ Deleting malware Folder     

.. OK ... C:\Temp\ 


************************ Registry Cleaning



************************ Suspect Files

/!\ The detected files must be controlled by a helper before any other handling

[C:\WINDOWS\album40.zip] 597576F65347B4FC5C5DD2B9123F6DBA
[C:\WINDOWS\album59.zip] B0410F1E49425893EB744C5AD053744E
[C:\WINDOWS\album68.zip] E92F4FD49D9EBF9B4AF2A195D2EA7563
[C:\WINDOWS\images013.zip] 88EE4D57FB4BEF86FE5399A30E798FAB
[C:\WINDOWS\images029.zip] 379F96F927B7BD2215B9AD3880CC1393
[C:\WINDOWS\images038.zip] 25708F6B189DE86FDF8C7BE1FE381964
[C:\WINDOWS\images059.zip] 9EAE5C05FB76F23D8A8D24C0D6276FB9
[C:\WINDOWS\P4CED10.zip] 784A5DC0E54C6C87C944AA641C86F072
[C:\WINDOWS\p4ced16.zip] 2103DBFD58EE1A6332F50FEA711B469B
[C:\WINDOWS\photo28.zip] 49CF14718D02FBC5D7B1FECAE5413B15
[C:\WINDOWS\photo31.zip] 41F77A14ACE225B4F765345240604289
[C:\WINDOWS\photo56.zip] DC1D4FBBF7505E0E789A395F6695D2BF
[C:\WINDOWS\photo8.zip] 147C448042F04DAAF7D71639CE6768E1
[C:\WINDOWS\photo91.zip] 2AFC2D9CAC940D03FF152D405334ADC2
[C:\WINDOWS\photos026.zip] D0DA0C05D50776012C2758D23A2FF7A1
[C:\WINDOWS\photos045.zip] 237E5D1979475B02F438CFD40A00AF7B
[C:\WINDOWS\photos064.zip] C8358D23270EB77EA8C0AC3BD6A85299
[C:\WINDOWS\photos068.zip] 6FFD637A4A140198AC0D2848B3E42094
[C:\WINDOWS\photos077.zip] E33055487F70ED8C5A65FC7392B703D2
[C:\WINDOWS\photos08.zip] 7B5C8E5482B91776B141C3164A90CD30
[C:\WINDOWS\photos094.zip] FEE72A1E08F39BAFEAF401CA0B5AB2E8
[C:\WINDOWS\photos098.zip] AB4D6444DD2707952DF6ADF15BC4EBD6
[C:\WINDOWS\picture13.zip] 35C365D8F7D96DBAA30CB9B3F1B883E1
[C:\WINDOWS\picture41.zip] FC75D45BF0A2EB386DEC620E391F2517
[C:\WINDOWS\picture67.zip] 17B7EBA818817D4AD5C2A3C8FA0C1C8C
[C:\WINDOWS\picture68.zip] 1FA73B15DD8EB54E7D98B2356840FE7B
[C:\WINDOWS\picture76.zip] 5A7873F6F01D22250A9DCC79AB1DEC4C
[C:\WINDOWS\picture95.zip] F0558BFCFD0FC5F1190ECD32114E6272
[C:\WINDOWS\pictures051.zip] 421A4DDBD20BC6BB3FB760CFE8AE62B3
[C:\WINDOWS\pictures08.zip] 728FFBA41B7C395487DA73D306CDF8D1
[C:\WINDOWS\pictures088.zip] B377F72A6B9E22EB4291AB1556C44C5B

 
The Files and Registry deleted have been save in 24-07-2007_ 8312762.zip


------------------------------------------------------------------------ 
Autor : !aur3n7            Contact: http://246694.aceboard.fr   
------------------------------------------------------------------------ 
ECHO is off.
---------------------------------------------  END  ---------------------------------------------






Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:34:01, on 24-07-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
D:\Programs\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Pixoria\Konfabulator\YahooWidgetEngine.exe
C:\Program Files\Pixoria\Konfabulator\YahooWidgetEngine.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jakob Allentoft\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.strongmind.dk/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pdfc] C:\Program Files\Adolix PDF Converter\pdfcload.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programs\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Program Files\Octoshape Streaming Services\Jakob Allentoft\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Pixoria\Konfabulator\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AD Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Block All Images from the Same Server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Highlight - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open All Links in This Page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Open In New Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Search - C:\Program Files\Avant Browser\Search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program Files\MultiPoker\MultiPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program Files\MultiPoker\MultiPoker.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://webnode1.xstream.dk/radiostationer/rawflow/206/Rawflow.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://frbsrv02.udd.sembsc.dk/iNotes6.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121363591328
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.webcam2.dk/activex/AxisCamControl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://opdatering.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - http://frbsrv02.udd.sembsc.dk/dwa7W.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9885 bytes

den trojan er tilsyneladende den fil den skal bruge for at 'clean the registry'. Den bliver markeret som:

C:\Documents and Settings\%Navn\Desktop\msnfix\incl\fichier.txt

Win32:Dadobra-EY [Trj]

Larsvik >> Umiddelbart vil jeg kalde dit problem for løst.
Jeg har ikke fået en eneste tilbagemelding på at værktøjet laver ravage, udover at fjerne infektionen, så det får en godkendelse af mig(os).

Gorgeous >> Det ser også ud til at dit problem er løst.
Men jeg ville gerne se den omtalte fil, kan du ikke først højreklikke på den, vælg Send til->zipkomprimeret mappe, derefter sende den zippede fil til:
fromsej (at) spywarefri.dk (erstat (at) med @)
Så får jeg den lige tjekket.

Hep fromsej,

den fil der er noget avast! fejlagtigt markerer som en trojan. Har prøvet at ignorere det, og der skete intet udover, at programmet kunne køre, hvilket det ikke kunne, hvis jeg blokerede den fil ;)

Udover det blev mit problem løst af Norton, da en af mine venner havde haft det samme, men hvor Norton havde tæsket det med det samme. Så det må være avast!, der ikke er kompetent nok. Så nu har jeg hentet Norton 360 Trial (som avast! gentagne gange forsøgte at bilde mig ind var en trojan, da jeg hentede det), og det lader til at have tæske det :)

http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-072302-0958-99 - der står bl.a. en guide til removal.

Endnu en gang tak for at du gider bruge tid på os "almindelige" mennesker ;) Synes at det er sindsygt, at du kan kigge på en log og få den til at give mening - ren matrix :D

Det lyder godt hvis Norton kunne tage den, de skal også prøve en enkelt succesoplevelse.

Jeg har vel efterhånden kigget på 2-3-4000 logs, så lidt rutine har jeg da fået i det.

Kan i have en fortsat god sommer. :-)

Tusind tak for hjælpen..
Jeg får stadig lidt skidt ind imellem.. men det er ikke værre end at de bliver fundet og ryddet væk.. Jeg har dog et dumt problem.. SAS finder min exe fil til det nye 3 mobil net jeg har.. og sletter den.. og så skal jeg geninstallere den hver gang.. irriterende

Velbekomme, tak for point. :-)
Start SuperAntispyware, klik på Preferences->Manage excluded folders->Add
Find så mappen hvor filen ligger, marker den og klik på OK.
Så burde det problem være løst.