Trojan Horse

1. Disable begge virus programmer
2. Lav en online scan med: http://housecall.antivirus.com/housecall/start_frame.asp
3. Fjern evt. virus
4. Kør herefter kun med en lokal virusscanner

Ovenstående vil kun hjælpe hvis du slår systemgendannelse fra (system restore) hvor den formentlig ligger og roder rundt:
http://www.arlet.dk/index.htm?/systemgendannelsen.htm
evt følg:
http://www.arlet.dk/index.htm?/faeettrojan.htm
og derefter:
http://www.arlet.dk/index.htm?/faeetvirus.htm

Og når du er færdig (det kan være der kommer nogle spywaregutter og kigger forbi med andre gode råd) skal du kun køre med ét antivirusprogram.

Hvilket antivirus prg, er så tilrådeligt ??

Personligt bruger jeg avast:
http://www.spywarefri.dk/avastmanual.htm
Gratis til hjemmebrug og samtidig god (dropppede norton og nuppede avast istedet).

Alle antivira prg. har sine fordele og ulemper, men prisen er altid et godt argument!

Personligt er det sidste gang jeg har kørt med norton AV (kører stadig med norton FW da den er ok).
Da norton havde sluppet den 4-5 trojaner/virus ind, skiftede jeg til avast med det samme.
Men med avast har man et godt og gratis antivirus (også ifølge mange andre her på exp.dk)

Har disabled AVG og systemgendannelse, og kørt housecall, og tilsyneladende er der ikke nogen virus mere, vil det så betyde at man kan køre systemgendannelse slået til igen ??

Ville gerne give begge karakter, men ved ikke om man kan dele dem, eller hvad man gør hvis man gerne ville give begge to ??

Formentlig har trojaneren ligget i system restore (som jo ikke er der mere efter du har disablet den).
Men for at være sikker, så smid lige en hijackthis log herind:
http://www.webattack.com/get/hijackthis.shtml
tryk på scan->save log og kopier den herind.

Jeg mangler at lave et svar, derfor du ikke kan dele dem, så smider lige et.

Logfile of HijackThis v1.97.7
Scan saved at 16:02:22, on 14-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
C:\Programmer\Fælles filer\Nokia\Tools\NclTray.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Popup Ad Filter\PopFilter.exe
C:\Programmer\WIDCOMM\Bluetooth-software\BTTray.exe
C:\Programmer\TurboLaunch\TurboLaunch.exe
C:\Programmer\Fælles filer\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\WIDCOMM\Bluetooth-software\bin\btwdins.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Dennis\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.familylogon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programmer\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [DataLayer] C:\Programmer\Fælles filer\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmer\Fælles filer\Nokia\Tools\NclTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programmer\Popup Ad Filter\PopFilter.exe
O4 - Startup: TurboLaunch.lnk = C:\Programmer\TurboLaunch\TurboLaunch.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Allow Popups - C:\Programmer\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38060.6930092593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Jeg synes ikke at kunne se noget giftigt. Men for at være helt sikker må en af spywaregutterne kigge lidt på den (de kommer formentlig forbi og kigger).

Okay der er måske heller ikke noget i den, ser heller ud til jeg har problemer, jeg vil give point, og sige mange tak for hjælpen, og satser på at det kører nu, men vender nok tilbage en anden dag ;o)

Er det nogen der kommer og kigger forbi for at se om der er noget de kan bruge, eller er det noget der kommer forbi og ser om de kan hjælpe, så skal jeg måske holde lidt igen med med pts. *SSS* nej ikke derfor, men det er jo ikke sikkert de vil hjælpe hvis ikke der er nogen point i det ;o)

Kan jeg slå systemgendannelse til igen ??

hvad med den smøre jeg har skrevet her, er der nogen der kan bruge den til at snage i min pc,og andet udfra den ???

Hvis trojaneren er væk (hvilket jeg tror, eftersom du har kørt housecall med system restore slået fra og den ikke har fundet noget)

Nej, de kan kun se dit profilnavn, hvad du har af kørende programmer osv. Ingen ip opgivet=de har ingen mulighed for at finde dig uden videre.

"Hvis trojaneren er væk......" + kan du godt slå det til igen.

Alletiders Chalde du er en god ven, så jeg siger mange tak for en ihærdig og god hjælp fra dig, men vil nu godt give points, og håbe at det hele kører, måske man kan give lidt karma også ;o) MANGE TAK

Det var så lidt, og selv tak :-)

Ren log.
hilsen en af spywaregutterne. ;o)

Mange tak Mr. Spyware. Thnkx for a god job. Nice 2 have you around ;o)

Velbekomme, kig lige i vores artikler om emnet her:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

fromsej -> Du siger selvfølgelig bare til hvis du vil have nogle af pointsne.

Chalde>>Jeg råber efter dig, når jeg løber tør for point. ;o)
Behold du dem bare, det var hurtigt at tjekke.

:-)