en fil ved navn uhvzvo.exe kører i baggrunden

Det er højstsandsynligt noget spyware...
Prøv www.spywarefri.dk...
Eller også prøv at køre en scan med Ad-Aware... Hvis du ikk har det kan det hentes på: http://www.lavasoftusa.com/support/download/

Ja det er så en backdoor... Kør dit antivirus program...

evt en onlinescanning: http://housecall.trendmicro.com/

Tak for hurtigt svar.. Problemet er at jeg HAR kørt AdAware - og jeg har også kørt Spybot - og de siger ikke noget til denne fil. Jeg har OGSÅ kørt virusscanning med flere forskellige virusprogrammer... Det er derfor jeg er lidt i vildrede for hvad det kan være for en fil. Er der nogen der kunne 'se' i filen hvad den gør? Så vidt jeg kan se i filen, er der noget http request og nogle syn_flood

Den kørte som en service, som jeg nu har disabled, så den ikke starter op hver gang puteren bliver genstartet. Men da den var aktiv var den *AKTIV*!

Prøv at hente Hijackthis på Spywarefri under værktøj, scan, save log og smid logfilen her, så tjekker vi den igennem for dig.
Det lyder som en ny afart af Lop i mine ører.

ok.
Hijackthis:
Logfile of HijackThis v1.96.0
Scan saved at 18:38:29, on 15-08-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\Programmer\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\wincmd\WINCMD32.EXE
f:\e-drev\Downloads\uhvzvo.exe
C:\Documents and Settings\Lars Kaas\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [WinVNC] "C:\Programmer\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Service] f:\e-drev\Downloads\uhvzvo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Run WinVNC (App Mode).lnk = C:\Programmer\ORL\VNC\WinVNC.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


TCPVIEW:
uhvzvo.exe:392    TCP    dlmserver:auth    dlmserver:0    LISTENING   
uhvzvo.exe:392    TCP    dlmserver:1084    dlmserver:0    LISTENING   
uhvzvo.exe:392    TCP    dlmserver:1084    wsc114.amenworld.com:6667    SYN_SENT

C:\Programmer\TightVNC\WinVNC.exe remote control, har du selv styr på det?
O4 - HKLM\..\Run: [WinVNC] "C:\Programmer\TightVNC\WinVNC.exe" -servicehelper
Hvis i selv har det kørende så lad det være.
Deaktiver systemgendannelse først.
http://www.spywarefri.dk/virus.htm#alle
Kør Hijackthis igen, scan, sæt flueben udfor linierne nedenunder, luk alle åbne vinduer undtaget Hijackthis, klik på Fix checked, genstart i fejlsikret tilstand.

O4 - HKLM\..\Run: [Service] f:\e-drev\Downloads\uhvzvo.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Slet den her fra fejlsikret tilstand.
f:\e-drev\Downloads\uhvzvo.exe

hej fromsej - jeg *har* deaktiveret den, jeg aktiverede den bare igen, da jeg skulle sende log filen til jer. Men er der nogen der kender til www.amenworld.com? og port 6667? Den sender også en SYN.

Jeg tjekker op på den, og vender tilbage.*S*

takker!

http://www.iss.net/security_center/advice/Exploits/Ports/

Her kan du se hvad de forskellige porte gør. Port 6667 har noget at gøre med IRC

Jeg personligt kender ikke det firma amenworld.com som tilbyder serverplads og domænenavne.

Amenworld er som aovergaard beskriver et firma der tilbyder serverplads, har du på et tidspunkt undersøgt markedet for den slags?

fromsej - aldrig. Kender ikke til deres eksistens - og det tror jeg heller ikke at min ven gør. Han bruger den mest som en slags 'server', og han bruger den aldrig til at gå på nettet og surfe.

OK, hvad er status nu?
Er problemet løst, eller har i stadig noget i ikke har styr på?

fromsej - jeg har fået styr på det forlængst - men har spørgsmålet haft åbent et stykke tid for måske at få svar på hvad det er for en fil.

Jamen det har jeg jo givet dig svar på her for 10 dage siden:

Kommentar: aovergaard
19/08-2003 23:57:59

ok - tak. Aovergaard - drop et svar, så du også kan få nogle point.

svar.

Takker for point;)