trojan horse

kører i fejlsikret tilstand lige nu

Følg vejledningen her:
Gå ind her og hent Spybot, Ad-Aware og HijackThis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot og Ad-Aware, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker du HijackThis og smider filen i en mappe, oprettet KUN til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis - det kan skade mere end det gavner.

Manual for installering af HijackThis:
http://www.spywarefri.dk/hijackthis.man.htm

Inden du kopierer en HijackThis-log herind, så gør lige følgende:

Download denne engangsscanner: http://www.spywareinfo.dk/download/mwav.exe

Fra fejlsikret tilstand kører du mwav.exe – aktiver så den scanner mest muligt.

Efter scanningen prøver du at genstarte normalt.

Kopier så (som victor-1 siger) en HijackThis-log herind i tråden. Følg de anvisninger, han giver.

okay, -jeg er igang med at scanne med eScan Antivirus Tool

Lyder godt, mwav kan godt tage noget tid!

Ja for den da, -det tager sin tid, -indtil videre har den logget følgende, - bare en lille mellemstatus:

File C:\Documents and Settings\MIKKEL\Dokumenter\downloads\programmer\Burn4Free_Setup.exe tagged as not-a-virus:AdWare.NavExcel. No Action Taken.
File C:\Documents and Settings\MIKKEL\Lokale indstillinger\Temp\GL_117.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programmer\Logitech\Desktop Messenger\8876480\6.1.4.68-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
File C:\Programmer\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

Ja jeg forventer ikke at I skal kommentere det,- jeg keder mig bare lidt!

Mens du venter, kan du glæde dig over, at den plejer at være effektiv.

Nu har jeg scannet færdig og genstartet, - bingo, - ingen problemer udover en enkelt windows siger en fil mangler melding !

Vil I ha en hijackthis log?

Ja da *S*
Kom endelig med den ;-)

ådan ser en helt ny hijackthis log ud

C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Compaq\Easy Access Button Support\cpqeadm.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmer\ACD Systems\ImageFox\ImageFox.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\MIKKEL\Skrivebord\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.205.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: Shell=Explorer.exe openme.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmer\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programmer\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmer\Trojan Remover\Trjscan.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{2363A679-AD75-4D34-A469-B6F686A31BFF}: NameServer = 10.205.1.1,212.54.64.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{44367960-C91D-48F1-8D03-C5D57B9F89FE}: NameServer = 10.205.1.1,212.54.64.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170

Jeg kigger på den med det samme og vender tilbage med en procedure så hurtigt jeg kan *S*

Tak

Du skal nu i gang med at fixe, men først skal du lige gøre følgende:

Åbn en mappe, klik i menuen på Funktioner > Mappeindstillinger > Vis
Fjern flueben ved "Skjul beskyttede operativsystemfiler"
Fjern flueben ved "Skjul filtypenavne for kendte filtyper"
Sæt prik i "Vis skjulte filer og mapper"

Så genstarter du til fejlsikker tilstand (tryk på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kører programmet HijackThis.
Du får herunder nogle filer som du skal fixe og det du skal gøre er, at sætte vinge ud for alle disse filer. Når du har gjort det så lukker du alle andre vinduer ned. Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe. Klik på <Fix cheked>.

Her er de filer, du skal fixe. HUSK at dobbelttjekke så ALT kommer med:

F2 - REG:system.ini: Shell=Explorer.exe openme.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab
------------------------------------------------------------------------------------------------------------------------

Derefter genstarter du (stadig i fejlsikker) - finder og sletter det herunder markerede:
Brug Start > Søg > Alle filer og mapper > indsæt det markerede i feltet og tryk på søg. Slet alle forekomster af filen.

openme.exe
------------------------------------------------------------------------------------------------------------------------

Derefter genstarter du normalt, scanner med HijackThis, gemmer loggen og kopierer indholdet af den herind. Og DENNE gang skal du kopiere HELE loggen herind *S*

Hele loggen, - jeg forstår ikke hvad jeg ellers har gjort, - men okay lad mig lige først følge anvisningen.

Tak

Du mangler det øverste af loggen - styresystem m.m.

Sådan:

Nu med det hele:

Logfile of HijackThis v1.98.2
Scan saved at 00:44:04, on 27-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Compaq\Easy Access Button Support\cpqeadm.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\ACD Systems\ImageFox\ImageFox.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Documents and Settings\MIKKEL\Skrivebord\hijackthis\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.205.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmer\Compaq\Easy Access Button Support\cpqeadm.exe
O4 - HKLM\..\Run: [EACLEAN] C:\Programmer\Compaq\Easy Access Button Support\eaclean.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: ImageFox.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{2363A679-AD75-4D34-A469-B6F686A31BFF}: NameServer = 10.205.1.1,212.54.64.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{44367960-C91D-48F1-8D03-C5D57B9F89FE}: NameServer = 10.205.1.1,212.54.64.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170
O17 - HKLM\System\CS2\Services\Tcpip\..\{139A6749-77D6-457E-80ED-EB4F3D409790}: NameServer = 10.205.1.66,212.54.64.170

Så vidt jeg kan bedømme, er loggen nu ren *S*
Hvad siger resist ?

Sæt dine mappeindstillinger tilbage til standard:
Åbn en mappe, klik i menuen øverst oppe på Funktioner > Mappeindstillinger > Vis
Sæt flueben ved "Skjul beskyttede operativsystemfiler"
Sæt flueben ved "Skjul filtypenavne for kendte filtyper"
Fjern prik i "Vis skjulte filer og mapper"

Browser cachen skal også renses - gør følgende:
1. Klik i menuen øverst oppe på Funktioner > Internetindstillinger
2. Under midlertidige filer, klik på "Slet cookies"
3. Under midlertidige filer, klik på "Slet filer" – sæt flueben i "Slet alt offline indhold"
4. Under Oversigten, klik på "Ryd oversigten"
5. Klik på "Ok"

Slut af med, at tømme papirkurven.

Til sidst skal du deaktivere systemgendannelsen - (http://www.spywarefri.dk/virusscannere.htm#alle) - genstarte din computer og aktivere systemgendannelsen igen. Derved oprettes der et nyt og "rent" gendannelsespunkt.

Og det skal heller ikke skorte på et par velmente god råd:
Kig her - http://www.spywarefri.dk/pakken.htm

Jeg anbefaler:
Spybot/og eller Ad-Aware, SpywareBlaster, IE Privacy Keeper/eller EmtyTempFolders, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer.

Ønsker du ikke mange små programmer kan du i stedet købe et program som Spy Sweeper. Det ligger også i pakken, hvor du kan læse lidt mere om det. Der ligger også et link til en dansk manual. Jeg kan varmt anbefale programmet.

Morgel: Jeg kan se at du kører AVG6.0. Har du ikke længe haft problemer med at få den opdateret? I hvert fald har Grisoft udsendt en 7.0 udgave, som det kunne være en god ide at få lagt ind. Så er du nok mere sikker mod senere angreb:
http://free.grisoft.com/freeweb.php/doc/2/lng/us/tpl/v5

Takker for point *S*