TrojanHunter kommer med fejl

Skulle måske lige skrive at det er en trojansk hest der hedder : iroffer.169

Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilket af de 7 links du downloader fra.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.

Har du opdateret Trojanhunter fornylig, de har lige rettet et par småfejl

andersenph: eSacan kunne desværre i fjerne den.

forevernewbie : Har lige downloaded 4.0 i dag så det burde være den sidste nye.

Trojanhunter 4.0 er vist ikke fri for et par småfejl, men de abejder på det, har jeg læst. Siger Trojanhunter hvilken fil der er inficeret ?

Eventuelt kunne da starte op i fejlsikret tilstand.
(Du trykker F8 nogel gange lige når Windows starter op)
Scan igen med Kaspersky scanneren.
Og som Forevernewbie siger: Fortæl os navnet på den inficerede fil og på trojaneren.
Så skal vi nok finde på noget. :O)

Trojaneren heddder som du kan se tidligere. iroffer.169, filnavnet kommer jeg lige med senere. Bliver lige nødt til at løbe nogle timer.

Her er filen som det drejer sig om samt en registry som er kommet efter jeg opdaterede "rules" i TrojanHunter.

Found trojan file: C:\WINNT\mmdcd.exe/8933R.exe (Iroffer.169)

Registry scan
Registry key exists: HKEY_LOCAL_MACHINE\SOFTWARE\msbb (matches Adware.180SearchAssistant.100)

Hmm, der vist mere her. Reg entry´en er noget CWS adware. Prøv lige at køre en tur med Spybot http://www.safer-networking.org/en/mirrors/index.html og læg en HijackThis log ind

http://www.spywareinfo.com/downloads/tools/HijackThis.exe


http://danborg.org/spy/HJT/hijackthis.exe


Hvis du ikke ved hvordan: Åbn HJT>scan>save log>den åbner så i notesblok. Copy/paste den herind i tråden.

Brug det nederste link til HijackThis, det øverste virker ikke ;-)

SpyBot fandt ikke noget. Her er logfilen fra HijackThis :

Logfile of HijackThis v1.98.2
Scan saved at 2:59:50 AM, on 9/21/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AccessManager\Client\AMBroker.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHSTW32.EXE
C:\Program Files\AccessManager\PMAC\sp_SWIns.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\AccessManager\Client\sygman.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\mmdcd.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Program Files\AccessManager\Client\AccessMgr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\internat.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Softmate\IPSwitcher Basic\IPSwitcherBasic.exe
C:\WINNT\System32\SCardSvr.exe
C:\download\HijackThis\hijackthis.exe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [AccessManager] C:\Program Files\AccessManager\Client\AccessMgr.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: Comshare DecisionWeb Applets - http://212.130.45.167/deciweb/cdweb/classes/DecisionWeb.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab

Der er to filer, der ikke må være der.

Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer
C:\WINNT\mmdcd.exe>>>>slet filen mmdcd.exe
C:\WINNT\system32\conime.exe>>>>slet filen conime.exe

Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilket af de 7 links du downloader fra.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.


Derefter genstarter du og sender en ny log ind til check

Jeg har lidt problemer. Hver gang jeg sletter conime.exe kommer den tilbage. Så jeg har prøvet at søge min harddisk igennem og den fandt faktisk 4 cinime.exe filer. Jeg har prøvet at slette dem alle, men den kommer følgende besked når jeg gør det.

"Files that are required for Windows to run properly have been replaced by unrecognised versions.
To maintain system stability, Windows must restore the original versions of these files.
` Insert your Service Pack 4 CD now."

Så jeg restorede de to filer som lå i :
C:\WINNT\$NtServicePackUninstall$ and C:\WINNT\ServicePackFiles\i386

Hvad nu ? Jeg har ikke en servicepack 4, men skal jeg overhovedet tænke på inst. af en servicepack 4 ?

Jeg er ikke sikker på at conime.exe skal slettes http://support.microsoft.com/?kbid=820199
Prøv at højreklikke på dem allesammen, og vælg "egenskaber", og hvis det er originale Micro$oft filer, så lad dem bare være. Btw, du har servicepack 4 installeret ;-)

De to filer er fra Microsoft så dem lader jeg bare være.

Efter kørsel at eScan fik jeg dette :
File C:\WINNT\system32\\NtlogonWrk.EXE tagged as not-a-virus:RiskWare.RemoteAdmin.RA.3826. No Action Taken.
File C:\WINNT\system32\ntlogonwrk.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.3826. No Action Taken.
File C:\WINNT\system32\ntlogonwrk.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RA.3826. No Action Taken.

Skal der gøres noget ved disse tre ?

Ny HighjackThis logfil :
Logfile of HijackThis v1.98.2
Scan saved at 5:36:26 AM, on 9/22/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AccessManager\Client\AMBroker.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\NHSTW32.EXE
C:\Program Files\AccessManager\PMAC\sp_SWIns.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\AccessManager\Client\sygman.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Danware Data\NetOp Remote Control\HOST\nldrw32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Program Files\AccessManager\Client\AccessMgr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
C:\WINNT\system32\internat.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\System32\SCardSvr.exe
C:\Program Files\Softmate\IPSwitcher Basic\IPSwitcherBasic.exe
C:\download\HijackThis\hijackthis.exe

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [AccessManager] C:\Program Files\AccessManager\Client\AccessMgr.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\EspMain.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: Comshare DecisionWeb Applets - http://212.130.45.167/deciweb/cdweb/classes/DecisionWeb.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab

Dem skal du ikke gøre noget ved. De er ok. Det er fordi scanneren finder nogle filer som til forveksling godt kunne ligne noget snavs.

Kør Ad-aware. Sæt den til maksimal scannig:
http://www.spywarefri.dk/tipsogtricks.htm#adaware

Hvis ikke du finder noget med den, så er din maskine ren....

Den fandt ikke noget så den ser ud til at være ren, men hvad med mit oprindelige spørgsmål ?

De 3 filer E-scan fandt er iroffer. Prøv at slette dem i fejlsikret

Har slettet de 3 filer. TrojanHunter kommer stadig med samme fejl.

Fortæller trojanhunter hvilke filer der er inficeret ?

TrojanHunter.exe, men efter jeg har slettet de 3 filer kommer den ikke med fejlen mere.

Tak for hjælpen.

Send lige et svar så der kan deles point ud.

Velbekomme, og du får lige et svar :-)

Takker for point :-)