virus og mystiske filer

Men ingen af dem tjekker registreringsdatabasen så vidt jeg kan lure.

Hej ezolu her har vi lagt removel til den virus: http://www.spywarefri.dk/virus.htm#Netskyb Prøv lige at køre det prg.

De der kæmåe temp filer indeholder en masse mails og så en dælens masse krypteret og så igen mails jeg har modtaget og sendt :(

removal toolet fandt ingenting

Til gengæld er der stadig dette i registreringsdatabasen under denne nøgle

HKEY_USERS\S-1-5-21-1409082233-1454471165-725345543-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU


services.exe, au.exe, d3update.exe, *.txt, bbeagle, shimgapi.dll, user.js, bbeagle.exe

Tøm din Temp mappe, prøv så online med Housecall.
http://www.spywarefri.dk/onlinevark.htm

Har kørt en bitdefender som ikke fandt noget - tror du housecall finder noget den ikke gør?

Det er ikke umuligt, men langtfra sikkert, de er i mine øjne lige gode.

Men uanset kan jeg vel roligt slette HKEY_USERS\S-1-5-21-1409082233-1454471165-725345543-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU ?

Der er noget helt galt - den bliver ved med at generere de der megafiler i tempmappen :(

Gå ind her og hent Spybot og Hijackthis.
Spybot: http://danborg.org/spyware/Spybot/spybotsd12.exe
Spybotopdatering: http://danborg.org/spyware/Spybot/spybotsd_includes.exe - Opdatering.
Spybotopdatering: http://danborg.org/spyware/Spybot/spybotsd_tools.exe - Opdatering.
Hijackthis: http://danborg.org/spyware/HJT/hijackthis.exe

Installer Spybot, og opdateringer, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Har lige kørt symantecs removal tool for beagle ormen (som jo er den det tyder på iflg.

HKEY_USERS\S-1-5-21-1409082233-1454471165-725345543-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU )

og den siger jeg ikke har noget ?!!

OK, så lav den logfil, så kigger vi i den.*S*

Logfile of HijackThis v1.97.7
Scan saved at 00:12:15, on 19-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe
C:\Programmer\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.5997800926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ser da meget pænt ud gør det ikk?

Ahh - doh! Har lige luret at

HKEY_USERS\S-1-5-21-1409082233-1454471165-725345543-500\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

henviser til de ting man sidst har søgt på... Men jeg er nu stadig bekymret for om der er blevet installeret en backdoor og om hvordan jeg er SIKKER på at jeg undgår at være vært for virusen / trojaneren.

Har kørt en Spybot med alle opdateringer og den fandt 5 ting som nu er fjernet.. Derudover har jeg sat systemdatoen til efter d. 25 februar.

Der er ikke noget i den logfil der ikke må være der, er dit problem løst?

vil gerne vidergi dette link til Trend Micro Sysclean Package
http://www.trendmicro.com/download/dcs.asp
har netop idag brugt begge værktøjer: Symantec W32.Netsky.B@mm Removal Tool og
Trend Micro Sysclean Package , Trend Micro scanner inde i komprimerede filer etc .zip , .rar , er ikke ligeså nem at bruge som Symantec's ,da man skal hente hele 2 ting og lægge/udpakke i samme folder før det ka køre
/cp1