Ny Trojansk hest? Ingen programmer kan fjerne denne!

Prøv at lave navnet om til dit anti-virus programs .exe fil, som bruges til at åbne anti-virus programmet, og starte det igen.
De fleste virus-filer går nemlig efter nogle bestemte .exe filer (Antivirus programmernes), som de lukker eller laver ubrugelige så snart de bli'r åbnet.
F.eks. kunne man på Norton Antivirus lave NAVW32.exe (.exe filen som bruges til at åbne programmet) om til N4VW33.exe eller noget andet, så virker det måske - r dog ikke sikker..

Scan først med verdens bedste trojanscanner:

Jeg vil gerne om du ville installere et prg. mod trojanere. Det hedder TrojanHunter og er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.

Derefter med panda : http://www.pandasoftware.com/activescan/

Hvis ingen af de 2 finder noget så har du ikke noget snavs

Jeg har forresten også kørt Anti-Trojan uden at den finder noget. Har også kørt Sygate Online check uden den finder noget.

Jeg er ikke helt sikker på hvad det gavner at ændre .exe filen til noget andet, og hvad der derefter vil virke...? Vil du uddbyde en smule mere tak.

Kør de to gode programmer, jeg foreslår og hvis de finder noget så smid det herind...

OK, så har jeg endeligt fået installeret og startet trojan hunter, den kører nu. Panda activescan fandt ikke noget.

Den windows stop fejl jeg får (den i ved med blå skærm) siger udover det sædvanlige med nyt hardware etc.:

"the fileobject passed to IOCancelFileOpen is invalid. It should have reference o f 1. Teh driver that called IoCancelFileOpen is fault."

Denne fejl er kommet 5-6 gange i træk, og kræver cfølig reboot hver gang.

Skriver lige hvad udfaldet af Trojan Hunter's scan bliver. Tak for hjælpen indtil videre!

nu huskede du at sætte en vinge i Automatisk remove trojans.??

Hvis den heller ikke finder noget tager vi et grovere værktøj i brug..

format c:\? :P

computerphper-> Helt ærligt. Det er da det dummeste jeg længe har hørt...
Det er da aller sidste mulighed..

argh!! nu blev hele min besked slettet grundet session timeout da jeg trykkede 'udfør'!!

Nå, jeg har kørt trojan hunter med auto remove slået til - ingen funde trojaner. Panda finder heller ik noget. Men AVG Resident Shield siger stadigvæk at den virus findes. Men AVG virus scanner kan ikke engang selv finde den. Virker lidt mærkeligt, samtidig med at INGEN andre programmer kan og der ikke står noget på nettet overhovedet om lige den variant (Backdoor.Afcore.AI). Har kun fundet noget omkring backdoor.afcore.a til afcore.p. Removal metoden til disse fungerer desværre ikke på min comp.

Re-install af windows virker snart som sidste udvej må jeg indrømme... :o(

Så må vi tage grov filen frem:


For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...



Manual for installering af hijackthis:

http://www.spywarefri.dk/hijackthis.man.htm

når du smider den logfil herind, kan jeg se de programmer du har åbne og andre ting, der kører på din computer.

Jeg kan også se hvis der ligger virusser og trojaner, så hvis vi er heldig kan jeg finde den der...

Jeg vil nu snarere sige til dig at du skal skifte Antivirus prg. Vi hører desværre ofte at AVG finder noget som slet ikke er der alligevel - false positive.

Når Panda onlinescanner ikke finder noget
Når Sygate onlinescanner ikke finder noget
Når Atni trojan ikke finder noget
Når TrojanHunter som er verdens bedste trojanscanner ikke finder trojaner på din computer, så er det fordi du ikke har en trojaner. Det er AVG som fejler. Fjern AVG fra din computer, og installer hellere Avast som også er gratis prg. Det er faktisk mægtig godt, og kan godt måle sig med nogle af de prg. som man skal købe. Du kan finde dette prg. her: http://www.spywarefri.dk/virus.htm#alle Du skal ca. trekvart ned ad siden.

Du har ikke trojaner på din computer, og du skal hverken formatere eller noget.

Det har indtil videre også været en del af min tanke, at siden det KUN er AVG Resident Shield som finder denne 'virus' (og ikke engang AVG virusscanner selv kan finde den eller andre scanners!), at der så er tale om en spøgelses virus. Især da der heller ikke NOGEN steder på nettet findes noget info om lige den variant.

Nedenfor er logfil fra HijackThis. Spybot er også kørt, og der er slettet 5 exploits. Besked fra AVG kommer stadigfrem. Samt en windows popup om at "Error Loading c:\windows\system32:dwpxtpg - Access Denied"

Logfile of HijackThis v1.97.3
Scan saved at 13:28:04, on 23-10-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Intel\Switching\User\RoamSvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\Hcontrol.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\ATKOSD.exe
C:\Program Files\PestPatrol\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Babylon\Babylon.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Kim Hansen\Desktop\hijackthis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ServiceLayer] C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Nokia\Nokia PC Suite 5\DataLayer\Application\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [dwpxtpg] rundll32 C:\WINDOWS\System32:dwpxtpg.dll,Init 1
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\Run: [piqom] "C:\WINDOWS\System32\piqom.exe"
O4 - HKCU\..\Run: [Babylon Translator] C:\Program Files\Babylon\Babylon.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {4BEE3896-4820-48D1-85EA-5A9A9ECD3D95} (OPUCatalog Class) - http://www.microsoftoffice.com/productupdates/content/opuc/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/bcd48c18cb7498/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37868.0161342593
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

det skal også lige nævnes at samme tid som AVG begyndte at påstå jeg har denne her virus, der begyndte min computer at genstarte med den stop fejl jeg har nævnt tidligere. Måske bare et meget uheldigt tilfælde.

Ok du har snavs på din computer kan jeg se, og det skal væk. Jeg begynder på din log nu, og så tager de ca. 1 tim. at gå gennem den.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html

Kender du selv disse, jeg kan ikke finde noget på dem. Hvis ikke så fix dem.
O4 - HKLM\..\Run: [dwpxtpg] rundll32 C:\WINDOWS\System32:dwpxtpg.dll,Init 1
O4 - HKLM\..\Run: [piqom] "C:\WINDOWS\System32\piqom.exe"
Disse to er meget mistænkelige, der findes ingen steder oplysninger om disse filer, og jeg tror faktisk på at det er rigtig snavs.

C:\WINDOWS\ATKOSD.exe Denne her ser også meget underlig ud, og kender du ikke noget til den, så ville jeg godt nok sørge for at få den væk i en fart, slette den fra Windows mappen.

Nu er det sådan at Messenger Plus er kendt for at komme med en masse snavs, og programmet har intet med Microsoft Messenger at gøre, så hvis det var min computer ville jeg slette denne:
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
Og fixe denne:
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"

Genstart din computer, og kom med en ny log, så jeg kan tjekke om du er clean.

Kan se at det var godt vi gik igang med den hijackthis...

C:\WINDOWS\System32:dwpxtpg.dll er den fil som AVG siger der er vires i - men filen findes ikke (det gør piqom.exe heller ikke. Eller ses i hvert fald ikke når windows kører ved normal mode) - har ikke prøvet i safe eller kommandoprompt mode)

Vil gå i sving med at fjerne stadset!

O4 - HKLM\..\Run: [dwpxtpg] rundll32 C:\WINDOWS\System32:dwpxtpg.dll,Init 1
O4 - HKLM\..\Run: [piqom] "C:\WINDOWS\System32\piqom.exe"

Det var disse to, de skal fixes i hijackthis, sammen med de andre

Hjemme igen. Ja de to filer de ser ikke for godt ud. Kunne godt se at det var dem som AVG henviste til, men der ligger ikke en eneste henvisning på hele Internettet omkring disse filer, og det tegner ikke godt. Helt sikkert nogle filer som skal fixes, så du kan få fred *S*

Du skal jo bare lige vinge dem af, ikke finde dem, det har Hijackthis gjort for dig, så en vinge og et klik på fix *S*

Hvordan går det, blev du clean, eller skal du have yderligere hjælp? I modsat fald, så husk at lukke spørgsmålet igen ved at acceptere et svar

hejsa - en afsluttende kommentar fra mig. Undskyld den lange ventetid - har haft 2 travle uger på studiet :-(

Jeg endte med at lave re-install - havde ikke tid til andet, da jeg skulle igang med et datalogi projekt hvor jeg skulle bruge maskinen.
Lige meget hvad jeg gjorde forsvand problemet ikke.

Ellers mange tak for hjælpen venner!

Velbekommen

Ok surt, men velbekommen. Takker for point;)

For at holde din nyformaterede computer ren, så installer disse prg: Spywareblaster, SpywareGurad, Ie-Spyad (læs om den på vores hjemmeside så du kan få fuld glæde af det geniale prg.) Ad-aware og så EmtyTempFolder. Så kan du næsten ikke få snavs på din computer. Du finder alle disse prg. her: http://www.spywarefri.dk/vaerktoj.htm

Du har jo vidst trojanhunter nu så skal du bare downloade avast et godt antivirus den gir advarsler hvis der er en trojan du downloader eller andet virus og slet Avg :P

Hej bilal5005

Du er 6 år for sent på den (smil)

Mon ikke denne tråd skulle lukkes igen.

6 år - bedre sent end aldrig :P Nu er Avast kendt for at lave false positives, så AVG er vel lige så godt et program. Vi ses igen om 6 år ;-)