Trojan - svchost

Scan med spybot: http://www.safer-networking.org/index.php?lang=en&page=download - fix det den finder - scan herefter med Hijackthis: http://www.spywareinfo.com/~merijn/files/hijackthis.zip? og smid loggen herind - fix IKKE noget selv! Så kigger jeg eller en anden på loggen.

P.S. MON ikke dette spørgsmål burde lukkes?

Sorry - glemte link ;)
http://www.eksperten.dk/spm/96473

john stigers>>> er sket, en forglemmelse fra min side...
................ men MON så ikke du skal kigge ordentligt efter, når jeg skriver jeg kører spybot i forvejen? :-) desuden HAR jeg kørt HiJackThis, (er jo ikke h e l t idiot) *lol* og der er ikke noget unormalt,(efter jeg HAR lavet startsiden om, manuelt, men hvis jeg bruger programmet FØR jeg gør det, står det ganske vist som et problem, når man så "fixer" det, er startsiden ganske rigtigt angivet til "about:blank", indtil næste gang man starter computeren!!!

så jeg kan ikke rigtigt se... (?)

Logfile of HijackThis v1.97.7
Scan saved at 05:46:10, on 09-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\svchostc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Megabody\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38016.2474421296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

men sådan ser den så ud, efter jeg har fjernet de latterlige links og genveje, som spybot åbenbart ikke kan klare... nu skulle det oz være en rimelig ny virus, ifølge "Trendmicro", men alligevel...

Har du røvet med lavasoft adaware ?? http://www.lavasoft.de/default.shtml.en

har du kigget på Symantec, hvis du kender navnet på trojaneren ville der måske være en muglighed for at de har en vejledning til hvordan den skal fjernes, har f.eks selv haft en som lavede 2 filer som hed test.* (den nåede lige at sende 186 mails fra min pc :o( ) den skulle/kunne kun fjernes hvis man startede win xp i skrivebeskyttede tilstand

Mvh.Rebecca

ulkj>>> har netop (p)røvet :-) hjælper ikke :-(

Nu skal jeg tjekke din log, for dit problem ligger i loggen.

rebecca>>> er rimelig sikker på den hedder "Troj M small" eller noget i den dur, ifølge trendmicro, men ku ikke finde den på symantec´s hjemmeside...

synes det er ufatteligt der ikke er noget der kan tage den... man ku prøve virus112´s online-scan, men den forsøger vel bare at slette filen (svchost) eller putte den i karantæne, og det kan jeg vel ikke bruge til noget ? ... nå, jeg kan jo li´så godt prøve... nu jeg er igang...

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\svchost.exe



Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\svchost.exe <-kun filen og den skal ligge i windows mappen.(hvis den ligger i system32 mappen er den god nok)
C:\WINDOWS\System32\svchostc.exe <- kun filen


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

arlet>>> sletter det ikke bare filen? hvad gør den overhovedet godt for?

... har tendenser til at afinstallere det norton-fis, det virker jo åbenbart ikke, og så gå tilbage til pc-cillin, selvom e-mulen ikke bliver glad for det

Jamen, det er trojaneren, den fil.

Så følg vejledningen og problemet er væk.

Norton finder ikke trojaner, kun nogle. Så man kan ikke laste norton for at den ikke holder den ude. Så skal man have en trojanscanner for at holde trojaner ude.

arlet>>> synes bare ikke jeg havde de problemer med pc-cillin... tilgængæld kan man så ikke åbne for specifikke porte, under firewall´en, kun blokkere... så der er man nød til at slå firewall´en helt fra, for at få e-mulen til at køre ordentligt... men det behøver jeg vel ikke forklare DIG om? ;-)

Jo, det er helt i orden*S* Er ikke så meget inde i firewall..

arlet>>> kunne ikke starte op i fejlsikret tilstand, den FRØS *uhumrrrumaaahhg* da der stod agp440.sys, så jeg regner med at det er mit club3D radeon 9600 der ikke kan køre fejlsikret ??? men det lader til den er væk nu. Tænkte ellers på at gå ind i "processor" i joblisten, og slukke alt hvad der hed "svchost", og så slette den???

Logfile of HijackThis v1.97.7
Scan saved at 10:59:26, on 09-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Megabody\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmer\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmer\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38016.2474421296
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

arlet>>> mener du jeg skal bruge alle 4 programmer? istedet for spybotSD?

Ikke i stedet for.

De 4 programmer er nogle der holder spyware og andet snavs for døren. Spybot skal du scanne med hver 14 dage.

arlet>>> spywareguard er beskyttet af password, men fedt at se B1909 oppe i venstre hjørne på siden ;-)

Det logo er fordi det er inde på fromsej´s side. Det med passwordet kan jeg ikke forstå. jeg finder lige en anden side, du kan hente den fra

http://www.javacoolsoftware.net/downloads/spywareguardsetupmin.exe

IEspyAD kan jeg heller ikke få til at virke, defekt zip-fil, eller en exe-fil der viser et dokument...

IE-SPYAD kan du hente en .exe fil her : http://www.staff.uiuc.edu/~ehowes/res/ie-spyad.exe

jamen det gik jo strygende... så vil jeg da installere det, tror godt jeg kan undvære det sidste program...

tak for hjælpen...

Velbekommen

Kommentar: dux 09/02-2004 11:22:21 *S* Hjerteklubben.

Var det fra min side du prøvede at hente spywareguard, men ikke kunne?