IRC Trojan

Jeg sætter dig lige igang ; Følg denne vejledning - så kommer Arlet, aovergaard, fromsej fra Spywareteamet sikkert og hjælper med resten.

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :        http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


Du må ikke fixe noget selv. Når vi har tjekket loggen igennem fortæller vi dig hvad du skal slette..

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

(ovenstående er citat fra Arlet) - skulle egentlig ikke have været et svar...

prøv Stinger

http://vil.nai.com/vil/stinger/

This version of Stinger includes detection for all known variants, as of November 4th, 2003:
BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Narod
PWS-Sincom W32/Bugbear@MM W32/Deborm.worm.gen
W32/Dumaru@MM W32/Elkern.cav W32/Fizzer.gen@MM
W32/FunLove W32/Klez W32/Lirva
W32/Lovgate W32/Lovsan.worm W32/Mimail@MM
W32/MoFei.worm W32/Mumu.b.worm W32/Nachi.worm
W32/Nimda W32/Pate W32/Sdbot.worm.gen
W32/Sober@MM W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Swen@MM W32/Yaha@MM

Jeg har fulgt Arlet's /Espersen's råd og har nu dl og kørt SpyBot og HijackThis!

Hijackthis viser nu denne LOG:

//

Logfile of HijackThis v1.97.7
Scan saved at 00:21:38, on 05-12-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN\System32\smss.exe
C:\WIN\system32\csrss.exe
C:\WIN\system32\winlogon.exe
C:\WIN\system32\services.exe
C:\WIN\system32\lsass.exe
C:\WIN\system32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WIN\system32\spoolsv.exe
C:\WIN\System32\svchost.exe
D:\Programmer\Norton\navapsvc.exe
C:\WIN\System32\NMSSvc.exe
C:\WIN\System32\nvsvc32.exe
C:\WIN\system32\regsvc.exe
C:\WIN\system32\MSTask.exe
C:\WIN\Explorer.EXE
C:\WIN\system32\stisvc.exe
C:\WIN\System32\WBEM\WinMgmt.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\Promon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\win\system32\mscnt.exe
D:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WIN\system32\internat.exe
C:\WIN\system32\RUNDLL32.EXE
D:\programmer\seti\SETI@home.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\Programmer\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Adobe-\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmer\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WIN\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSN Loader] msgner.exe
O4 - HKLM\..\Run: [scanreg] "C:\WIN\p0six.exe "
O4 - HKLM\..\Run: [AcrobatAgent] C:\WINNT\system32\Adobe\Acrobat\AcrobatAGT.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mscnt] c:\win\system32\mscnt.exe /noconnect
O4 - HKLM\..\Run: [lsass] c:\win\system32\txp\lsass.exe
O4 - HKLM\..\Run: [THGuard] "D:\Programmer\TrojanHunter 3.7\THGuard.exe"
O4 - HKLM\..\RunServices: [MSN Loader] msgner.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [seticlient] d:\programmer\seti\SETI@home.exe -min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\WIN\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WIN\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WIN\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WIN\Downloaded Program Files\googlenav.dll/cmsimilar.html
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt0_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.trojanscan.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37846.9678125
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

Jeg løber den lige igennem

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O4 - HKLM\..\Run: [MSN Loader] msgner.exe
O4 - HKLM\..\Run: [scanreg] "C:\WIN\p0six.exe "
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Mscnt] c:\win\system32\mscnt.exe /noconnect
O4 - HKLM\..\RunServices: [MSN Loader] msgner.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\win\system32\mscnt.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Lige en kort bemærkning: TrojanHunter kan også fjerne trojaner i trial-vers. En virusscanner finder og fjerner ikke alle trojaner, tro endelig ikke det. Køb en god trojanscanner (TrojanHunter, TDS-3 eller BoClean).

Det med trojanhunteren er at du ikke har sat den til at fjerne automatisk.
Til en anden gang, så følg denne vejledning
Hent verdens bedste trojanscanner. Det hedder TrojanHunter og du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter.

Men den må du ikke bruge nu, vi skal først have loggen ren..

Har du brug for mere hjælp, eller har du fået dit spørgsmål besvaret??, for så skal du huske at lukke dit spørgsmål ved at accepterer et svar..

arlet> jeg er ikke avanceret bruger, og er bange for at ødelægge mit system hvis jeg følger din beskrivelse sammen med HijackThis! Det undrer mig det, du skriver med at "Det eneste vindue der må være åbent er HijackThis" og alt det...jeg er simpelthen ræd for at fucke mit system helt op så jeg skal til at geninstallere etc.! Er det virkelig den eneste måde at gøre det på? Jeg har aldrig prøvet at 'starte i fejlsikret tilstand' - hvad indebærer det? At man startet op i DOS? Du skriver noget om at jeg skal finde og slette en fil...

Nå, men skriv gerne igen... Lige for tiden har min Norton AV2003 ikke beklaget sig over IRC trojanen, så jeg ved ikke om den stadig er her. Men tak for hjælpen indtil videre.

Du kan roligt følge Arlets råd og vejledning - han har 180% styr på dette område ! Han og resten af Spyware-teamet har hjulpet rigtig mange med de samme problemer som dine !

Vi tager det stille og roligt.

du går ind i hijackthis og finder de filer jeg har skrevet ovenover og sætter en vinge ud for den, så lukker du alle andre vinduer, så det kun er hijackthis vinduet der er åben, så trykker du på fix check.
så genstarter du maskinen og holder f8 tasten nede og vælger fejlsikret(ikke noget med dos *S*) så finder du den fil også beskrevet ovenover og sletter den, så genstarter du normalt og scanner en ny hijackthis log og lægger den herind.

Prøv. Næsten uanset hvad du laver, kan vi redde den, så go for it!!

Espersen-> Tak for roserne*S* Din bemærkning er skrevet på en måde så man tror at jeg er med på mesterholdet(teamspywarefri) det er jeg ikke, vi samarbejder bare*S* Så fik vi det på det rene

Tror i ikke der skal en ny logfil til, den anden er 2 uger gammel.