Fjerne backdoor

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Du skal installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du under værktøjer på Spywarefri.
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Når du har installeret Spybot, skal du som det første hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot og fjerne alt det snavs, som programmet eventuelt finder. Det er alt det med rødt, som skal fjernes. Marker med flueben alle de steder, der er med rødt og klik derefter på afhjælp problemer.
Derefter skal du installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner. HijackThis-loggen viser dig både de gode og de dårlige ting, så vi skal nok hjælpe dig med finde de dårlige.

system32.exe er bagdøren. Den skal bare slettes

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.sysxxx.html

Nu har jeg kørt spybot og den har også fjernet selve filen system32.exe ... norton finder heller ikke flere inficerede filer, så det må vel være helt okay igen nu ... eller hvad ?

Tag lige en onlinescanning med de to her: http://www.spywarefri.dk/onlinevark.htm
Så er du på den sikre side. X-Cleaner til venstre, den skanner for spyware, Panda til højre, som skanner for virus.

Ønsker du at få tjekket helt op på din computer, så kør Hijackthis, så tjekker jeg den

Her er den:

Logfile of HijackThis v1.97.7
Scan saved at 23:31:44, on 11-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Linksys\WPC11 Config Utility\WPC11Cfg.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Tim.TIM3\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ultralinks.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: IEXPLORE.EXE
O4 - Startup: STOFANET.EXE
O4 - Startup: TNT20.VBX
O4 - Startup: VBRUN300.DLL
O4 - Global Startup: Instant Wireless Configuration Utility.lnk = C:\Programmer\Linksys\WPC11 Config Utility\WPC11Cfg.exe
O8 - Extra context menu item: &Download with &DAP - C:\DOCUME~1\TIM~1.TIM\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\DOCUME~1\TIM~1.TIM\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/html/activex/danskesikker/BG/DanskeSikker.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A09C7322-2DC1-4493-95EA-45C12AD18E88}: NameServer = 212.10.10.4,212.10.10.5,212.10.10.3

Syntes nu den ser fin ud ... kan ikke selv lige se noget farligt

Nej det gør den ikke, nu skal jeg lige tjekke den, og vende tilbage med svar til dig.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ultralinks.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ultralinks.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html

F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\System32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} –

Genstart.

Og så har du en liggende, som jeg er næsten helt sikker på er trojaner. Det drejer sig om denne her:
O4 - Startup: IEXPLORE.EXE

Derfor vil jeg gerne have at du lige fortager en skanning med et trojanprogram, så vi er helt sikre før jeg fixer denne.
Prøv at installere en trojanscanner som TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne dine trojanske heste fra din computer, hvis der ellers er nogen.

Og så har du slet ikke opdateret dit Windows. Det er meget vigtigt, så det skal du også lige have gjort. Du vil blive ved med at få snavs så længe du ikke har Sp1 og alle opdateringer på.

Nu tager en ny scanning med hijackthis. Kopier en ny log herind. Du kan sagtens få de næste par timer til at gå nu. *S*

Mvh. Aovergaard/Team Spywarefri

Du skal efterfølgende selv vælge en ny startside, jeg har fixet alt dit snavs. Du kan jo selvfølgelig lade denne ene side blive liggende uden at fixe den:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ultralinks.info/

Har problemer med at give point herinde :o((
Det er løst nu i hvert fald ....

Takker for point;)