Trojan Horse Downloader Generic6.ALAi og Generic6.AMBN

"...reinstallere win 2000.." - mener du total formatering mm. ? Eller bare en Repair ?

... for en go' ordens skyld; stik os/mig en HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe

(Jooo - jeg har 'virus' på hjernen...)

------------------

Har forsøgt med repair, situationen er den samme.

Har også forsøgt med hijackthis.exe - men uden held! ----

Indtil videre.

... Jamen teksten fra nævnte HiJackThis ???
Den skal jeg se her i tråden !!!

HiJackThis programmet fixer det ikke bare af sig selv...

nej det er jeg skam godt klar over!

men jeg kan sende filen der har gjort skade til dig,
såfremt du vil lege doktor.

interesseret?

... som sagt kun logfile TEKSTEN - her i tråden ... som 1000vis af andre har gennemført...

http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

her er så tråden dvs. logen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:56, on 10-03-2008
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
i:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\LogWatNT.exe
C:\Program Files\Network Associates\VirusScan NT\MCSHIELD.EXE
C:\PROGRA~1\NETWOR~1\VIRUSS~1\VSTSKMGR.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\WcgopSvc.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\Desktop\080308\gmer.exe
F:\Program Files\Opera\Opera.exe
i:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
I:\Program Files\Grisoft\AVG7\avgcc.exe
C:\WINNT\System32\SNDVOL32.EXE
C:\WINNT\System32\cmd.exe
C:\Documents and Settings\Administrator\Desktop\080308\HijackThis.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\regedit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/defaults/sb/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: AutoStart IR.lnk = C:\Program Files\WinTV\ir.exe
O4 - Startup: Emails
O4 - Startup: K9_.exe
O4 - Startup: readme.txt
O4 - Startup: Shortcut to husk.exe.lnk = C:\Program Files\husk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {44EFB53C-C965-43CF-9F45-52242D134187} - (no file)
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Betway.com Poker - {4CBB5C71-1BA0-49ca-93CD-159AF8AA0CC9} - I:\Program Files\Betway\Poker\MPPoker.exe
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .aiff: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npaudio.dll
O12 - Plugin for .mp3: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npaudio.dll
O12 - Plugin for .wav: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npaudio.dll
O12 - Plugin for .wma: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O16 - DPF: {0E25CA6C-52AE-47E0-BF44-BC5B3A0403F4} - http://www.anywebcam.com/awc/SGT.ocx
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://superprogdownload.com/download/helps/id/187787/2977830903.chm::/win.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/popcap/zuma/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A9BC6DB-F7CA-46C2-B348-02257608DBB2}: NameServer = 193.239.134.83
O19 - User stylesheet: C:\WINNT\stsheets.dat
O20 - Winlogon Notify: urqqqoo - C:\WINNT\SYSTEM32\urqqqoo.dll
O23 - Service: Network Associates Alert Manager (AlertManager) - Network Associates, Inc. - C:\PROGRA~1\NETWOR~1\VIRUSS~1\AMGRSRVC.EXE
O23 - Service: Apache - Unknown owner - C:\Program Files\Apache Group\Apache\Apache.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - i:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - i:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan NT\MCSHIELD.EXE
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\PROGRA~1\NETWOR~1\VIRUSS~1\VSTSKMGR.EXE
O23 - Service: MySql - Unknown owner - c:\mysql\bin\mysqld-max-nt (file missing)

--
End of file - 5729 bytes

Ved du hvad Microsoft ServicePack er for noget ???

Nedenstående omhandler dog XP men for W2000's vedkommende bør (=skal) du have ServicePack4 + eftefølgende opdateringer !!!

"Ubeskyttede pc’er holder i 20 minutter":
http://www.comon.dk/index.php/news/show/id=18812

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner. Som du er et godt eksempel på !!!

Du kan hente ServicePack2 (SP4) her som 'løs' fil (~129Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende sted på din PC
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP4 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.

DEREFTER fortæller jeg hvad der ellers er galt...

Du _kan_ jo evt. gøre dette først ->

Kør en scanning med Hijackthis,
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

O9 - Extra button: (no name) - {44EFB53C-C965-43CF-9F45-52242D134187} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

O20 - Winlogon Notify: urqqqoo - C:\WINNT\SYSTEM32\urqqqoo.dll

Genstart normalt...

Søg og slet den markerede fil hvis den stadig findes. Ellers fortsætter du bare vejledningen. Kan være røget i fixet.

C:\WINNT\SYSTEM32\urqqqoo.dll

Genstart, kør en ny scanning med hijackthis, og kopier en frisk log herind til tjek.

Og så bør (=skal) den være med nævnte SP4 !!!

------------------------------------------------------------------------

Jeg er klar over, at en service pack - er et must!

men men, jeg er meget interesseret i at få fjernet denne dll først

C:\WINNT\SYSTEM32\urqqqoo.dll

Tilsyneladende er dette ikke nemt, da den bliver loadet ind via boot processen.
Nogen bud på hvordan det tæmmes?

... som det står beskrevet ved [10/03-2008 17:09:56] !!!

.. Det virke ikke, for at være helt ærlig!

så ingen point ..

Må søge hjælp andre steder.

HVAD VIRKER IKKE ???

Har du gennemført [10/03-2008 17:09:56] proceduren ???

Jeg HAR også andre trix i ærmet !!!

Får ikke lov til at slette urqqqoo.dll driveren

Start op i fejlsikret tilstand http://www.spywareinfo.dk/#/htm/fejlsikret_tilstand.htm
og DERFRA æd filen ...

Det er forsøgt i fejlsikret tilstand, men driveren bliver ved at dukke op!

-- Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

-- Pak Avenger-programmet ud og dobbeltklik på avenger.exe
-- Der dukker et vindue op, hvor du skal kopiere indholdet mellem ~~~ skrift ind:

~~~~~~~~~~~~~~~~~~
Files to delete:
C:\WINNT\SYSTEM32\urqqqoo.dll
~~~~~~~~~~~~~~~~~~

--- Klik på EXECUTE - og la' PC'en selv genstarte.

-- Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

Den løsning er afprøvet og virker, men nu mangles der bare en faq

på Generic6.ALAI og Generic6.AMBN trojanen

samt pågribelsen af bagmændene til disse problemer.

Hvordan kører PC'en så nu ?

Den fungerer nogenlunde ok, dog er der lidt oprydning grundet problemerne
bla. i reg.basen samt nogle exe og dll filer, der også skal slettes.
Efter de er gennemgået nøje.

Men stadig er der ingen faq på Generic6.ALAI og Generic6.AMBN trojanen online endnu.

... hvad mener du med det sidste ?

Og få SÅ den SP4 på systemet + efterfølgende opdaterings elementer fra WindowsUpdate !!!

Registreringsdatabase oprydning ->
RegCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm (Specielt punktet [Register]...)
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller NEJ til den.

nu er det sådan at man ikke bare uden videre installere en service pack nr. 4!

deslige kan jeg ikke lade være med at fortælle,

at ingen af nedenstående har været med til at give en forklaring el. i det mindste svare tilbage.

tdc, kontaktet pr. tlf. en kort samtale og ellers ingen ting, for at være ærlig.

spamfighter, afvisnings af ens mail.

nai ingen respons, dk cert, ingen respons.

flot ikk?

"...at man ikke bare uden videre installere en service pack nr. 4!..." - ikke forstået ?

Husk HENT pakken først og DEREFTER install...

ok svar og til en del hjælp tak for det.

en installation af windows 2000 kommer ikke på tale

Øhhh - det er vist en gammel tråd ?