Fået virus hvor computeren ikke crasher

Du er åbenbart kommet i klubben.
Jeg har hørt at Norton Antivirus (TDC opdatering 12.08.2003) ikke kan finde denne virus. Prøv at læse de andre indlæg om virus, der er virkelig god hjælp at hente.

Prøv etv. et andet virusprogram: Grisoft.com (den kan finde den)
Fortvivl ikke, kill blot den virus, og opdater din win2K til SP4 + Windows2000-KB823980-x86-ENU.exe, så kan du komme igang igen.

Backdoor er et vidt begreb, men du kan da prøve med Stinger om der skulle være rester af noget tilbage.
http://vil.nai.com/vil/stinger/ det kan du sagtens gøre i safe mode.

Du kan også kigge forbi http://housecall.trendmicro.com og på den måde tjekke om din maskine er renset. Hvis housecall finder en virus kan du finde hjælp på Trend's side til at fjerne bæstet. Ofte skal du en tur i registreringsdatabasen for at få slettet alle sporene.

SwatIt er rigtig god til at finde IRC-orme, så jeg vil tro du har denne:
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=84

Hvilket styresystem har du ?

Hent evt hijackthis fra www.spywarefri.dk, lad den scanne og læg så loggen herop. Det burde være muligt at se navnet på den fil i systray (opstartsikonerne) og fixe den med det værktøj.

Direkte link til Hijackthis:
http://www.webattack.com/get/hijackthis.shtml

Allerførst TAK for alle svarene.

Jeg er i øjeblikket i gang med at scanne med antivirus program fra www.bitdefender.com og den har fundet trojan:
exploit.iframe.vulnerability
indtil videre...

Mit styresystem er Windows XP
Vender tilbage snarest

Når det er XP er du nødt til at slå systemgendannelse fra før du scanner for virus. Så jeg vil anbefale dig at slå det fra, scanne igen og slå det til igen, når den engang er færdig med scanningen.

For at slå det fra skal du højreklikke Denne Computer, vælge Egenskaber og du kan så slå det fra på fanebladet Systemgendannelse.

Her er logfilen...jeg har i øvrigt sørget for at system restore er slået fra

Logfile of HijackThis v1.96.0
Scan saved at 15:43:20, on 13-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\program files\quicktime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe
c:\program files\softwin\bitdefender standard edition\bdmcon.exe
C:\Documents and Settings\Morten Hansen\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netzwerk.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SafeTPKeyCheck] f:\internetprogrammer\safetp\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: f:\internetprogrammer\safetp\stplayer.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003080601/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37592.1602199074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Bringer det nyt i sagen?

Skal også nævnes at jeg modtog en besked på messenger hvor et billede (meget suspect) var attachet umiddelbart før jeg fik "windows-update"-ikonet i højre hjørne (ved opstartsikonerne)

Jeg er ikke ekspert i HiJackThis logs, og da din ser rimeligt skummel ud, har jeg bedt Fromsej om at kigge på den. Hvis ikke du ved det, er han en af medlemmerne af www.spywarefri.dk og har stor erfaring i at analysere disse logs.

Men Prøv lige først at køre Spybot Search & Destry som du kan finde på spywarefri også under programmer. Den vil fjerne en stor del af de skumle ting. Kør så HiJackThis igen bagefter og læg den nye log herop.

(Jeg ved at Fromsej vil foreslå dette som det første, så du kan lige så godt gøre det med det samme)

Har kastet min opmærksomhed på:
C:\WINDOWS\system32\lsass.exe

Det lader til at være Nickser trojan program
<a ref="http://www.viruslibrary.com/virusinfo/Backdoor.Nickser.htm">http://www.viruslibrary.com/virusinfo/Backdoor.Nickser.htm</a>

Men vil lige køre Spybot Search & Destroy som du nævner

Helt enig mht lsass.exe. (det er svært andet når du selv kommer med dokumentationen)
Men der er også noget searchbar, som jeg også synes ser underlig ud, så jeg håber Fromsej får tid til at kigge på den nye log, der kommer.

Er på tonnybrandt, Lsass.exe er en af dem med de hvide hatte(God nok), jeg kigger på den i dag, har lidt travlt lige nu.

Hej tobz. Fromsej har bedt mig om at overtage dig, så jeg går igang nu. Det kan godt tage op til et par timer at gå gennem sådan en log, så hav tålmodighed. Måske beder jeg dig om at hente nogle programmer før vi fixer, men nu skal jeg først lige se hvad du har af gode ting og sager.

Fantastisk! :)
Jeg siger 1000 tak for hjælpen!!

Jeg vil lige gøre dig opmærksom på at jeg har taget turen frem og tilbage mellem det lokale bibliotek i dag ca. 10 gange, idet jeg kun vil være på nettet derhjemme i nødstilfælde.
Jeg har netop prøvet at hente Spybot s&d, men mit net (512kb/s)derhjemme arbejder MISTÆNKELIGT MEGET langsomt. Så har opgivet det for en stund og vil istedet komme med nogle oplysninger som måske er interessante:
Der kører ikke noget uordinært i registreringsdatabasen, MEN
i min task manager kører bl.a.
lsass.exe
csrss.exe
smss.exe
5x svchost.exe
nvsvc32.exe
xcommsvr.exe
alg.exe

Håber det kan være med til at dæmme op for det

Process File: lsass or lsass.exe
Process Name: Local Security Authority Service
Description: The Windows Local Security Authority Server Process Handles Windows Security Mechanisms
Common Errors: N/A
System Process: Yes

Process File: csrss or csrss.exe
Process Name: Client/Server Runtime Server Subsystem
Description: The Windows Client Server Runtime Subsystem handles Windows and Graphics Functions for all Subsystems
Common Errors: N/A
System Process: Yes

Process File: smss or smss.exe
Process Name: Session Manager Subsystem
Description: The Session Manager Subsystem initializes system environment variables, MS-DOS devices names such as LPT1 and COM1, loads the kernel for the Win32 subsystem, and starts the Windows Logon Process
Common Errors: N/A
System Process: Yes

Process File: svchost or svchost.exe
Process Name: Service Host Process
Description: The Service Host Process is generic host process for services that are run from dynamic-link libraries (DLLs)
Common Errors: N/A
System Process: Yes

Process File: nvsvc32 or nvsvc32.exe
Process Name: NVIDIA Driver Helper Service
Description: NVIDIA Driver Helper Service is installed by NVIDIA Graphics Card Drivers
Common Errors: N/A
System Process: No

filename xcommsvr.exe
fullname BitDefender Communicator Server
type Service?
manufacturer and other relevant information Softwin
http://www.bitdefender.com

Process File: alg or alg.exe
Process Name: Application Layer Gateway Service
Description: The Application Layer Gateway Service is Used for Internet Connection Sharing
Common Errors: N/A
System Process: Yes

Der ser ikke ud til at være noget der ikke skal være der.

Hmmm....oplysninger om det der kører i min task manager er vist ubrugbart...

Men hvorfor har du både noget Matrox og Nvidia kørende ??? Det er da 2 forskellige typer grafikkort.

Har haft lånt Matrox grafikkort some day...

Så skulle vi være klar til at få fixet dit utøj. Du skal markere alle de filer jeg nævner for dig. Når du har markeret dem, skal du lukke for alle andre vinduer undtagen HijackThis. Du skal først fixe når alle vinduer er lukket, og du har slået systemgendannelse fra (kan jeg se du har gjort). Klik nu på fix chekede. Genstart din computer.

Dem som skal fixes er:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netzwerk.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O10 - Unknown file in Winsock LSP: f:\internetprogrammer\safetp\stplayer.dll
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://i.a.cnn.net/cnn/resources/cult3d/cult.cab

Når du har genstartet din computer kan du jo fjerne disse fra din opstart. Det er bare programmer som ikke skal slettes men bare stoppes i run

Start – kør – skriv: msconfig – fanebladet start – fjerne vingen ud for følgende.

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Når du er færdig, skal du smide en ny log herind, så jeg kan tjekke at alt er væk.

Til orientering så kører computeren derhjemme max langsom...
Og når jeg vil genstarte eller lukke Windows popper et vindue nu op med: Ending Program: DDE Server Window. Der kører altså en DDE SERVER i baggrunden??
Jeg ved ikke hvad en dde server er og jeg har ik noget med den at gøre...kan det tænkes at en udefrakommende kører programmet på min computer?

Men jeg kigger lige på ovenstående

Du skal hente Lspfix her:
http://cexx.org/lspfix.htm direkte download http://cexx.org/lspfix.zip
Når du har kørt Hijackthis og genstartet, skal du køre Lspfix og lade den fixe stplayer.dll og ikke andre.

Jeg har nu fulgt ovenstående og nu er min logfile:

Logfile of HijackThis v1.96.0
Scan saved at 19:27:02, on 13-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\program files\quicktime\qttask.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe
C:\Documents and Settings\Morten Hansen\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SafeTPKeyCheck] f:\internetprogrammer\safetp\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: f:\internetprogrammer\safetp\stplayer.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003080601/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37592.1602199074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O10 - Unknown file in Winsock LSP: f:\internetprogrammer\safetp\stplayer.dll
Den springer i øjnene som det eneste, kørte du Lspfix?
Kender du noget til Safetp, ellers find mappen og slet den.

Safetp er et (save)ftp program jeg selv har installeret. Så den er harmløs.
Yep, jeg har kørt lspfix.
Kan jeg tillade mig at hente sikkerhedsopdateringerne på microsoft.com nu?
Eller skal jeg gøre yderligere inden??

Nej, hent du roligt opdateringer, din log er fin.
Mvh.
Fromsej/Team Spywarefri.

Jeg kan stadig ikke få opdateringerne igennem.
Bliver nødsaget til at vælge mellem bla. safe mode, normal, eller last good known configuration

Er dette noget at undrer sig over:
i msconfig - Services, er der Remote Procedure Call (RPC) Locator og tilhørende essential: YES
samt Remote Procedure Call (RPC) med tilhørende essential: YES
???


I øvrigt min logfil nu:

Logfile of HijackThis v1.96.0
Scan saved at 20:42:57, on 13-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\mgabg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\program files\quicktime\qttask.exe
C:\Program Files\Softwin\BitDefender Standard Edition\vsserv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
F:\Internetprogrammer\Trillian\trillian.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Documents and Settings\Morten Hansen\Desktop\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SafeTPKeyCheck] f:\internetprogrammer\safetp\STPMGR.EXE /CHECKSEED
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: f:\internetprogrammer\safetp\stplayer.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/borris/us/win/QuickTimeInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003080601/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37592.1602199074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jeg kan ikke se noget i den log, men jeg sæter flag på dig og kigger den igennem igen imorgen, men det er ikke der problemet ligger.

Ja jeg kan desværre ikke sige det samme. Jeg har nu fundet en skjult burgbear i din log. ftp://ftp.f-secure.com/anti-virus/tools/f-bugbr.zip Her ligger der removal tools til dig som du lige skal køre. Så må jeg have en ny logfil fra dig. Det er dog lidt kryptisk, er det burgbear eller er det legalt chartprg. Det kan under alle omstændigheder ikke skade at bruge denne removal, enten fjerner den din evt. burgbear virus eller også fjerner den ingenting. Og skulle den fjerne et evt. chat prg. Ja så kan du jo bare installere det igen. Den er lidt kryptisk, men der er meget store chancer for at det er en virus der ligger der.

Denne mangler du at fixe.
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

Med hensyn til opdatering af Windows, så kan jeg fortælle dig at du bare skal blive ved og ved med at prøve. Der er rigtig drøn på den med hensyn til opdateringer og har været det siden i går, det er næsten umuligt at komme igennem. Der er varslet angreb på Microsoft på lørdag, og så er der store chancer for at det varer et stykke tid før man atter kan få chancen for at opdatere.

Nu skriver du at port 23 Telnet er åben. Du skulle vel aldrig være bag en router, så det er routerens telnet grc brokker sig over ?

Jeg begynder at få lidt paranoia på....
Herfra biblioteket har den ingen problemer med at skulle hente ovenstående removal tool: ftp://ftp.f-secure.com/anti-virus/tools/f-bugbr.zip
Hjemme på computeren vil den ikke. Men når jeg så er her tilbage på biblioteket så er der ingen problemer. Herfra vil den godt hente.
Hjemme popper en grå box frem med: "The connection with the server was reset"

Da jeg åbnede computeren tidligere i dag skrev den noget med at jeg ikke havde permission to write i et eller andet Temp-directory...
Kunne ikke gøre andet end bare at trykke ok.

En anden ting er...at den dag jeg fik denne virus sad jeg og spillede Battlefield på nettet om aftenen og umiddelbart efter jeg havde spillet skulle jeg lave noget copy-paste...og jeg copierede en tekst men det der blev pasted var den ipadresse + port jeg sad på og spillede.... ved ik om det har noget på sig...men nu nævner jeg det.

og jeg er ikke sikker på om jeg fik trykket ctrl+c nede samtidig da jeg ville kopiere teksten...var lidt hurtig på tasterne...så måske har den pasted hvad der nu lå i hukommelsen...

Det lyder ikke godt. Jeg er sikker på du har den virus. Kan du ikke downloade og gemme det fix fra biblioteket, tage det med hjem og så køre det fra din pc.

Sidste udvej er jo format c: og det skulle vi jo helst undgå. Kan dog fortælle dig at det eller er det som anbefales af alle de førende hvis man har haft burgbear inde. Jeg finder lige noget gammel info frem hvis jeg ellers stadig har det.

Jeg har læst lidt om hvad en bugbear er for et væsen...

Bugbear har keylogger...som jeg godt anede fra starten.
Så min værste frygt er god nok. Der sidder satme en eller flere personer i den anden ende og bare venter på at jeg taster password ind til min netbank eller andet følsomt. De kan følge med i hvilke netsider jeg besøger hjemmefra og når det kommer til fjernelse af denne bugbear så er de hele tiden et skridt foran. Så de er sikkert med inde og tjekke hvilke værktøjer og råd I kommer med. Og lukker så for den varme hane når det rette værktøj er fundet. Satme smart!

Jeg har besluttet mig for at lave format c: eller købe ny harddisk...for en sikkerheds skyld.
Men hvis jeg laver format c: hvilke forholdsregler skal jeg så tage....vil de kunne få adgang til min computer alligevel ved nogle smarte manøvrer??
Og hvis der er nogle programmer jeg skal installeret som det første når jeg har formatteret så send venligst link til min email: tobz@hotmail.com - så jeg kommer et skridt foran.

På forhånd 1000 tusind tak for hjælpen!!

Ok, hvis du har besluttet dig, så har du besluttet dig. Jeg ville nok gøre et forsøg mere, nemlig at installere en firewall f.eks. Zonealarm http://download.zonelabs.com/bin/free/1001_cnet_zdnet/zaSetup_37_202.exe
Det gode ved zonealarm er at når et program forsøger at gå på nettet skal du selv give tilladelse, så der vil du kunne se hvilket program der forsøger at komme ud, foruden selvfølgelig at den også logger de angreb der er.

Du svarede aldrig på om du er bag en router, så det er routerens telnet port som grc brokker sig over.

Det er desværre ikke nok med format c. Du skal fdiske før du kan være sikker på at den er væk. Godt vi opdagede den, og håber jeg i tide.

Jeg har her lavet en lille pakkeløsning fyldt med bitte små prg. som ikke fylder meget på din computer, og som alle kører uden at de konflikter med hinanden. Alle programmerne er garanteret fri for spyware og er desuden Free prg. Du syntes sikkert, det var da frygtelig mange prg. som jeg skal installere, men det er desværre blevet sådan at det faktisk ikke mere er virus som er Internettets store problem, men i højere grad spyware, trojanere, mailware og hijacking. De prg. som jeg vil foreslå at du kan installere er følgende, som du alle kan finde på dette link: http://www.spywarefri.dk gå til værktøjer, her er de alle og på de fleste er der også en dansk manual. Hvis du installere alle disse små programmer kan du roligt surfe på Nettet uden du skal sidde og være bange for at få alt for meget skidt med ned på din computer.

Man kan hver dag på forsiden af Spywarefri se om der er nye opdateringer. Husk at opdater jævnligt.

Antivirusprg: 
Et godt bud her er AVG som kan rigtig meget. Indeholder en email-scanner som fungerer sammen med Outlook- og Exchange – klienter. Opdaterer virusdefinitionerne.
Et andet godt bud kunne være Avast, som vi har hørt rigtig meget godt om.
Derudover er det en god ting engang imellem at onlinescanne for virus. Dette kan du også gøre på spywarefri. Du bør også onlinescanne for spyware og det kan du gøre med X-Cleaner som du ligeledes kan finde på spywarefri.

SpywareGuard. Dette prg. passer på dig bare imod spyware i stedet for virus, men fungerer på samme måde. Derudover passer dette prg. også på at du ikke bliver hijacked.

Spywareblaster. Det er et lille prg. som ligger sig i registreringsdatabasen og sørger for at der ikke kommer spy på din computer.

Spybot el. Ad-aware. Spybot er nok den bedste af disse to. Det dette prg. gør er hvis du får noget spy ind på din pc som Spywareblaster ikke kender, kan den finde og fjerne dette spy.

IE-Spyad. Et lille prg. som ligger sig i registreringsdatabasen. Det ligger en mængde kendte spy Url adresser ind i klassificeret zone, således at du ikke ved et uheld kommer ind på disse grimme spysider.

Startup Monitor kunne også være rar at have installeret. Det er et lille prg. som også ligger sig i registreringsdatabasen. Det som dette prg. kan gøre for dig er, hvis der lige pludselig uden dit vidende ligger sig et prg. f.eks. en trojansk hest i din regedit, vil du blive alarmeret om at der er et prg. som vil ligge sig her, og du vil bliver spurgt om du nu også vil tillade dette.

EmtyTempFolder Dette prg. tømmer hver 5 min. alle dine cookies. Det kan også sættes til atutomatisk at tømme din History samt alle URL adresser som du har været ude på. Er god til at rydde op i alle disse adresser, cookies og history som man har liggende og fylde på computeren.

Hvis man så har enten kabelnet eller ADSL ja så ville jeg jo også varm anbefale en firewall. Det er desværre alt for nemt for en hacker at komme inde på din computer hvis du ikke har installeret en firewall. Et godt bud her kunne være Bitguard som du kan købe her: http://www.tryus.dk/start.asp
Dette er kun vejledende men jeg mener dog at du som det mindste bør installere: SpywareBlaster, SpywareGuard, Spybot og IE-Spyad og så selvfølgelig et antivirusprg.

Jeg er ikke så meget tilhænger af den zonealarm, men har lige fået oplysninger på en firewall som skulle være rigtig god. http://www.techtv.com/callforhelp/freefile/story/0,24330,3406480,00.html Denne skulle efter eksperters udsagn virker rigtig godt især kan den sætte porte på stelt og ikke bare nøjes med at lukke dem. Det betyder i praksis at der ikke er nogen udefra som kan se du sidder bag din firewall, modsat hvis den bare er lukket, så kan de se dig og så alligevel prøve at hacke sig igennem.

Held og lykke
aovergaard/Team Spywarefri

Ja, jeg er bag en router. Adsl-forbindelse.

Jeg har tidligere i dag forsøgt at hente og installere Zonealarm efter tip fra en kammerat....jeg har hentet setup-filen, men der sker intet når jeg kører den...den tænker få sekunder og så stopper den med det.

Fdiske...hvad vil det sige??

1000 Tak for hjælpen!!
Jeg kigger på det :)
Hvis jeg kunne give dig 1000 point så gjorde jeg det!

Først vil jeg takke for point;) Selvom jeg er ked af resultatet.

http://www.wintip.dk/guides/fdisk/ Her er en guide til fdisk. Det vil sige du renser din harddisk totalt. Først fdiske, det tager kun et øjeblik. Så skal du have delt din computer op i partitioner igen, og dernæst skal den formaters. Hvis du køber en ny harddisk skal den faktisk også fdiskes før den kan bruges.

Glemte før at fortælle at den firewall som jeg nævner tilsidst også er Free.

Skulle du få problemer, så er du velkommen til at henvende dig i vores forum på Spywarefri.

Undskyld jeg spammer....men jeg skal have oprettet et spørgsmål fordi internet explorer er helt i ged... jeg får ikke menuen frem med med opret spørgsmål frem så er der ikke en der vil smide et link til den side

http://www.eksperten.dk/opretspm.phtml

Så skal du nok lige køre en spybot :
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, derefter genstarter du

1000 tak

Hvis det ikke lykkes, forsætter vi i denne tråd.

Det tror jeg ikke der er nogen der får ondt i r.... af*S*

Kan se at du har nogle meget alvorlige problemer med din computer, og da det er et problem der ret godt matcher problemer jeg har set før, vil jeg da lige give dig min idé til at få det løst, også selvom at det er 4 måneder siden at du oprettede indlægget og at det sidst er besvaret for 1 måned siden.

1. Først vil jeg også bede dig om at slå "Systemgendannelse" fra i Windows.

2. Prøv først at se om der på systemet er en af de "meget alvorlige" virus
(som kan slå antivirusprogrammer, antispywareprogrammer og WindowsUpdate fra samt stoppe al adgang til bestemte hjemmesider og dermed stoppe adgangen til at opdatere).
Prøv derfor først at køre McAfee AVERT Stinger (http://www.mcafee.dk/stinger) og sætte den til at søge på alle diske.
NB!: Stinger retter eller sletter selv de Vira den finder.
NB!: McAfee AVERT Stinger er gratis at benytte.

3. Installér et Anti-Virus program og opdater det.
Jeg vil anbefale McAfee, da det er det program jeg selv har størst erfaring med.
Der findes på www.mcafee.dk en version af McAfee Antivirus i en evaluerings/trial version, derfor vil jeg anbefale at gå ind på http://www.mcafee.dk/evaluation og hente VirusScan version 4.5.1 SP1.
Når du har installeret McAfee så gå ind på www.mcafee.dk og hent seneste opdatering/ superdat (I skrivende stund sdat4411) og installér opdateringen.

4. Sæt McAfee til at gennemsøge hele computeren for virus ved at sætte kryds i "Scan memmery", "Scan Boot sectors", "Compressed files", "Start automatically".
Sæt prik i "All files".
Klik på "Advanced" og sæt kryds i ""Enable heuristics scanning" og vælg den sidste "Enable macro and programfile heuristics scanning".
Gennemsøg nu for virus og vælg clean/delete når den finder vira.

5. Hent Antispyware programmer
Her vil jeg anbefale både "Ad-Aware Personal" (Gratis) og "SpyBot Search & Destroy" (Gratis men der kan doneres til udvikleren) da de på hver deres måde er rigtige gode programmer og kan køre ankelt vis, men det er efter min erfaring bedst at køre begge.
Ad-Aware: http://www.lavasoft.de
SpyBot S & D: http://www.safer-networking.org

6. Opdatér begge programmer

7. Kør hvert af programmerne for sig, jeg selv plejer at starte med Ad-Aware.
NB!: Du kan opleve at SpyBot er nødsaget til at genstarte din computer for at fjerne det hele

8. Når alle programmer er færdige genstartes systemet.

9. Systemet skulle nu køre normalt.

10. Opdater Windows vha. WindowsUpdate, jeg vil klart anbefale at hente SP2 først, hvis den ikke allerede er installeret.

Til slut: Husk at afinstallere McAfee VirusScan inden udløbet af prøve-/evalueringsperioden.

Skulle der fortsat være problemer eller spørgsmål så skriv lige i tråden, da jeg nok skal holde øje med den og vende tilbage.

Jeg håber at det kunne være dig en hjælp, også selvom det er lang tid siden du har postet indlægget.

Mvh. Claus