Trojan vius

Jeg vil gerne om du ville installere et prg. mod trojanere. Det hedder TrojanHunter og er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.

Har du nogle navne på de trojanere?
Det gør opgaven noget lettere for os.*S*
Prøv evt. lige en onlinescan her:
X-block mod spyware og Panda mod virus.
http://spywarefri.dk/onlinevark.htm

prøv at slå systemgendannelse fra og kør norton igen.

slå systemgendannelse fra:
- højreklik denne computer
- systemgendannelse -> deaktiver systemgendannelse på alle drev

(jeg går ud fra at du har winXP)

Jeg har fundet ud af det hele og lavet det tak :)

Jamen, det var godt det lykkes...

Hmm det gjorde det nok ikk alligevel fordi da jeg scannede med det program jeg skulle downlaode så sagde den efter jeg havde scannet den...

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Warning: Unable to unpack UPX-packed file C:\Documents and Settings\hej1\Dokumenter\RISKII\TRAINER.EXE
Warning: Unable to unpack UPX-packed file C:\Documents and Settings\hej1\Dokumenter\RISKII\TRAINER.EXE
Warning: Executable file with double extensions found: C:\WINNT\system32\LanceArmstrong.com.scr
Found possible trojan file: C:\WINNT\system32\maze\alt.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\maze\nor32.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\maze\tlbar.exe (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\memorey\PSC32.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\memorey\SYSTL.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\memorey\WINSE.EXE (Suspicious: UPX-packed file in Windows System folder)
Warning: Unable to unpack UPX-packed file C:\WINNT\system32\Microsoft\dcsystray.exe
Found possible trojan file: C:\WINNT\system32\Microsoft\dcsystray.exe (Suspicious: UPX-packed file in Windows System folder)
Warning: Unable to unpack UPX-packed file C:\WINNT\system32\Microsoft\msstdfm.exe
Found possible trojan file: C:\WINNT\system32\Microsoft\msstdfm.exe (Suspicious: UPX-packed file in Windows System folder)
Warning: Unable to unpack UPX-packed file C:\WINNT\system32\Microsoft\oleaut32.exe
Found possible trojan file: C:\WINNT\system32\Microsoft\oleaut32.exe (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\systeq\alt.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\systeq\nor32.EXE (Suspicious: UPX-packed file in Windows System folder)
Found possible trojan file: C:\WINNT\system32\systeq\tlbar.exe (Suspicious: UPX-packed file in Windows System folder)
Error: Directory not found: E:\
12 possible trojan files found

Det var ikke godt.
Har du hentet nogle af de filer via P2P?
De navne skriger til himlen af snavs, de fleste i hvert fald.

Inden vi gør mere, vil jeg gerne se en logfil.

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Hmm jeg har faktisk fået filerne fra nogen venner...

Fred være med det, men så skal dine venner nok tjekke deres maskiner også.
Nu må vi se hvad vi kan finde ud af her.

Hmm nu har jeg da først problemer!!! Jeg kan ikk komme på nettet nu den siger at den har lavet en fejl og afsluttes... Så nu bruger jeg en anden comp på nettet.

Nå men min logfil ser sådan ud!!

Logfile of HijackThis v1.97.3
Scan saved at 21:15:02, on 01-11-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\RunDll32.exe
C:\Programmer\Winamp\Winampa.exe
C:\Programmer\Lexmark X5100 Series\lxbabmgr.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\Lexmark X5100 Series\lxbabmon.exe
C:\PROGRA~1\FLLESF~1\EACCEL~1\EANTHO~1.EXE
C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Steam\Steam.exe
C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programmer\Yahoo!\Messenger\ymsgr_tray.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\hej1\Lokale indstillinger\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Common\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HGTXPEI] C:\WINNT\system32\FirstBoot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programmer\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EanthologyApp] C:\PROGRA~1\FLLESF~1\EACCEL~1\EANTHO~1.EXE /b Startup
O4 - HKLM\..\Run: [WebScan] C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE -k
O4 - HKLM\..\Run: [AVPCC] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.7\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programmer\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmer\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: ZoneAlarm.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programmer\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programmer\Yahoo!\Common/ycsrch.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: Block This Page (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

ok, jeg er næsten fædig med din log. Skal lige høre dig kører du med kasper sky? jeg tror ikke du gør det, men skal lige vide det helt sikkert

Ok først skal du lige køre dette prg. du har en trojansk hest liggende, som dette prg. meget gerne skulle tage. http://vil.nai.com/vil/stinger/

Derefter gør dette:

Du skal nu til at i gang med at fixe. Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes: Der er en af dem som ikke er der mere - håber jeg da, for den skulle gerne være væk med den stinger. Det er din trojanske hest.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Common\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [EanthologyApp] C:\PROGRA~1\FLLESF~1\EACCEL~1\EANTHO~1.EXE /b Startup
O4 - HKLM\..\Run: [AVPCC] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk

Genstart din computer, og læg en ny log herind. Bliver lige nødt til at tjekke at alt utøj nu også er væk.


Aovergaard/Team Spywarefri