Linktest.exe??

Prøv at læse denne her Forum-tråd igennem: http://www.mcse.ms/message437617.html
Den er om filen du snakekr om

Sikkert en virus/trojan/spyware..

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker (i egen mappe) og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Har kørtspybot og ad-aware de fandt ikke noget.

Her logfilen:

Logfile of HijackThis v1.97.7
Scan saved at 18:59:01, on 02-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Tweak-XP Pro\popup.exe
C:\Programmer\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Winamp\winamp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\linktest.exe
C:\Programmer\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programmer\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programmer\Tweak-XP Pro\popup.exe"
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - http://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.2471527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Er det for lidt point?

Nej, jeg kigger den lige igennem.

Thank You.

Den er ikke helt nem vist.
Slet Linktest.exe først.
Så kører du regedit med søgeordet roing.ocx slet hvad du finder, tryk <F3> for at søge videre, slet <F3> indtil du får at vide at søgning er afsluttet.
Samme måde med roing.cab .
Vejledning til Regedit her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=416
I turned off and deleted the registry entries to _roing.ocx_ and
_roing.cab_ also entries for a browser toolbar

Jeg har slettet linktest.exe. Den fandt ikke noget i regestreringsdatabasen. men hvad er linktest?

Tilsyneladende en rest af noget Adware, nærmere kom jeg ikke på det.

Oki. Tak.

Har du nogen forslag til hvad der kan gøres fromsej?

Jeg kigger på det, den er rigtig dum den der.

Thanks.

Kom lige med en ny logfil, så jeg har lidt at arbejde med.

Kommer her:

Logfile of HijackThis v1.97.7
Scan saved at 16:44:53, on 03-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Tweak-XP Pro\popup.exe
C:\Programmer\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programmer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programmer\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programmer\Tweak-XP Pro\popup.exe"
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - http://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.2471527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Jeg kan altså ikke få øje på Linktest.exe nogen steder, hvad fortæller dig at du har den stadigvæk?

Lige når min pc starter op, kommer min Norton firewall op med et vindue hvor der står Linktest.exe prøver at få adgang til nettet. Den er også i min jobliste på det tidspunkt. Når jeg så har blokeret den, forsvinder den.

Her er en log lige efter opstart af pc.

Scan saved at 17:19:10, on 03-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programmer\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Tweak-XP Pro\popup.exe
C:\Programmer\Creative\ShareDLL\MediaDet.Exe
c:\windows\linktest.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programmer\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programmer\Tweak-XP Pro\popup.exe"
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - http://netbank.danskebank.dk/html/activex/DB/Menu.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37998.2471527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Hmm, den er sq tricky, jeg tjekker og tjekker,bedste idé jeg er kommet på er at hente Listdlls.exe her:
http://www.sysinternals.com/ntw2k/freeware/listdlls.shtml
Gem det i C:\listdlls så er det nemt at få fat i.
Klik på start->Kør skriv CMD klik OK, så har du et "DOS" vindue, her skriver du cd\ <Enter>
Så er du i C:\> skriv CD listdlls <Enter> så er du i mappen Listdlls.
Skriv så listdlls linktest>linktest.txt <Enter>
Det giver dig en txt fil kaldet linktest.txt, åbn den med notesblok og kopier den herind, så må vi se om ikke vi kan knække den.

Det var tricky. Her er filen:


ListDLLs V2.23 - DLL lister for Win9x/NT
Copyright (C) 1997-2000 Mark Russinovich
http://www.sysinternals.com

------------------------------------------------------------------------------
linktest.exe pid: 1604
Command line: "c:\windows\linktest.exe"

  Base        Size      Version            Path
  0x00400000  0xe000                    c:\windows\linktest.exe
  0x77f50000  0xa9000  5.01.2600.1217  C:\WINDOWS\System32\ntdll.dll
  0x77e60000  0xea000  5.01.2600.1106  C:\WINDOWS\system32\kernel32.dll
  0x77d30000  0x8c000  5.01.2600.1255  C:\WINDOWS\system32\user32.dll
  0x77c60000  0x40000  5.01.2600.1106  C:\WINDOWS\system32\GDI32.dll
  0x77dc0000  0x9d000  5.01.2600.1106  C:\WINDOWS\system32\ADVAPI32.dll
  0x78000000  0x86000  5.01.2600.1254  C:\WINDOWS\system32\RPCRT4.dll
  0x773c0000  0x7f5000  6.00.2800.1233  C:\WINDOWS\system32\shell32.dll
  0x77c00000  0x53000  7.00.2600.1106  C:\WINDOWS\system32\msvcrt.dll
  0x70a70000  0x65000  6.00.2800.1400  C:\WINDOWS\system32\SHLWAPI.dll
  0x71aa0000  0x9000    5.01.2600.0000  C:\WINDOWS\System32\wsock32.dll
  0x71a80000  0x14000  5.01.2600.1240  C:\WINDOWS\System32\WS2_32.dll
  0x71a70000  0x8000    5.01.2600.0000  C:\WINDOWS\System32\WS2HELP.dll
  0x63000000  0x97000  6.00.2800.1400  C:\WINDOWS\system32\wininet.dll
  0x762a0000  0x89000  5.131.2600.1123  C:\WINDOWS\system32\CRYPT32.dll
  0x76280000  0x10000  5.01.2600.1274  C:\WINDOWS\system32\MSASN1.dll
  0x77110000  0x8b000  3.50.5016.0000  C:\WINDOWS\system32\OLEAUT32.dll
  0x7ccc0000  0x121000  5.01.2600.1263  C:\WINDOWS\system32\OLE32.DLL
  0x1a400000  0x7a000  6.00.2800.1400  C:\WINDOWS\system32\URLMON.DLL
  0x77bf0000  0x7000    5.01.2600.0000  C:\WINDOWS\system32\VERSION.dll
  0x71d60000  0x1d000  6.00.2800.1106  C:\WINDOWS\system32\URL.DLL
  0x77330000  0x8b000  5.82.2800.1106  C:\WINDOWS\system32\COMCTL32.dll
  0x78090000  0xe4000  6.00.2800.1106  C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll
  0x5b250000  0x34000  6.00.2800.1106  C:\WINDOWS\System32\uxtheme.dll
  0x746e0000  0x44000  5.01.2600.1106  C:\WINDOWS\System32\MSCTF.dll
  0x76660000  0xe9000  5.01.2600.1106  C:\WINDOWS\System32\SETUPAPI.dll

hvis man søger på roing.cab for man disse resultater
http://www.google.com/search?q=roing.cab&sourceid=opera&num=0&ie=utf-8&oe=utf-8
fandt dette osse http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=004857#000002
og her http://www.cellphonehacks.com/viewtopic.php?t=11430&start=0
hvis man følger dette link http: //bins.roings.com/ (med vilje jeg ikke har lavet det klikbart) som er et bibliotek ned fra http: //bins.roings.com/roing.cab
kommer man til en site der ser sådan ud i firefox http://firewalker.1go.dk/firefox.jpg , om någet at dette ka hjælpe ??? og iøvrigt er det någet skumleværk så hvis i klikker på någet er det på eget ansvar ;)

Ser det skidt ud?

Jeg er meget i vildrede, men er ikke til sinds at give op, selv om jeg er ude i noget jeg ikke helt ed hvad er.*S*

Det lyder skummelt. Der er måske ikke noget at se på de dll'er?

Det er jeg slet ikke gået i gang med endnu, det ender nok med at du kommer på "byggemøde" hos hele Team Spywarefri.

Det var pokkers. Hmm jeg har ikke engang nogen anelse selv om hvordan det kan være kommet på pc'en, hvis det altså er spyware.

Jeg har fundet en registreringsnøgle i reg-edit der hedder linktestguid og en der hedder linkteststart, hvad siger du til det?

Hvis du har lavet en backup af din Regdatabase, så siger jeg ud med dem.*S*
Slet så filen Linktest.exe, prøv evt. med Dr.Delete, genstart så og se om bæstet er væk.
Dr.Delete her: http://www.spywarefri.dk/tipsogtricks.htm#dr.delete

Oki, det prøver jeg lige.

Den er der fandme igen, selvom jeg har slettet den med Dr.delete og slettet de 2 andre registrerings database filer. Æv

Vi er flere på den nu, det skal nok blive løst.
Hvis ikke i dag, så i morgen håber jeg, det varer længe inden vi kaster håndklædet.

Det lyder fandme fedt. respekt.

Vi prøver noget nyt. Jeg håber at det virker. Følg nøje rækkefølgen.

Stop den linktest.exe i joblisten.

Gå i start - kør - skriv: msconfig tast ok. Fanebladet start. Ligger den her, så fjern vingen ud for den.

Find filen linktest.exe - omdøb filen til linktestold.exe

Gå i fejlsikert tilstand find og delete filen linktestold.exe
Genstart normalt

Lad os lige se om det kan kvæle denne grimme fil. Jeg håber den er væk nu. Helt væk *S*

Efter at have omdøbt filen til linktestold.exe og genstartet til fejlsikret tilstand slettede jeg denne fil, men samtidig fandt jeg i menuen start endnu en fil men den hed bare linktest.exe. Den slettede jeg også. Men tidligere lå filen linktest.exe i windows mappen kun og ikke i menuen start, mystisk. Men nevermind, det vigtigste er at nu er det helt væk og den kører ikke i joblisten mere. Jeg siger mange tak til jer begge to. Hvad skal i have i point?

Point er uddelt, så fred være med det, det vigtige er at få opgaven løst.
For at sikre dig mod flere oplevelser af den slags har vi sammensat en pakke du kn kigge lidt på.
http://www.eksperten.dk/artikler/144
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Aovergaard er også fra Team Spywarefri. ;o)

Ja ligesom fromsej siger jeg skidt med de point, vi er jo næsten et alligevel. *G* Det vigtigste for os på Spywarefri er at få jer hjulpet af med det skrammel.

Mvh. Aovergaard/Team Spywarefri

Oki.Tak for det.

Velbekommen. :)