Søg
Avatar billede motyl Nybegynder
03. december 2004 - 03:04 Der er 18 kommentarer og
1 løsning

Trojans og Adware

Hej Eksperter.

Jeg er igen blevet ramt af virus i form af trojaner og adaware at værste art. Min Norman Antivirus har virkelig travle med at stoppe dem, men de hele tiden op igen samme med nye trojaner. Her er min log:

Logfile of HijackThis v1.98.2
Scan saved at 02:58:09, on 03-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\dmsvc32.exe
C:\WINNT\system32\smsvc32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\Spools.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\windrive.exe
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dmsvc32] dmsvc32.exe
O4 - HKLM\..\Run: [MSDNMess] C:\winnt\system32\cvssdp.exe
O4 - HKLM\..\Run: [Pausedell] weyer.exe
O4 - HKLM\..\Run: [Spools] Spools.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [messenger.exe] Hell.exe
O4 - HKLM\..\Run: [SMSvc32] smsvc32.exe
O4 - HKLM\..\Run: [Micrsoft Driver] windrive.exe
O4 - HKLM\..\RunServices: [Dmsvc32] dmsvc32.exe
O4 - HKLM\..\RunServices: [Pausedell] weyer.exe
O4 - HKLM\..\RunServices: [Spools] Spools.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [messenger.exe] Hell.exe
O4 - HKLM\..\RunServices: [SMSvc32] smsvc32.exe
O4 - HKLM\..\RunServices: [Micrsoft Driver] windrive.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [Spools] Spools.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede andersenph Nybegynder
03. december 2004 - 09:58 #1
Jeg kigger den lige igennem for dig :O)
Avatar billede andersenph Nybegynder
03. december 2004 - 10:02 #2
Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O4 - HKLM\..\Run: [Dmsvc32] dmsvc32.exe
O4 - HKLM\..\Run: [MSDNMess] C:\winnt\system32\cvssdp.exe
O4 - HKLM\..\Run: [Pausedell] weyer.exe
O4 - HKLM\..\Run: [Spools] Spools.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [messenger.exe] Hell.exe
O4 - HKLM\..\Run: [SMSvc32] smsvc32.exe
O4 - HKLM\..\Run: [Micrsoft Driver] windrive.exe
O4 - HKLM\..\RunServices: [Dmsvc32] dmsvc32.exe
O4 - HKLM\..\RunServices: [Pausedell] weyer.exe
O4 - HKLM\..\RunServices: [Spools] Spools.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [messenger.exe] Hell.exe
O4 - HKLM\..\RunServices: [SMSvc32] smsvc32.exe
O4 - HKLM\..\RunServices: [Micrsoft Driver] windrive.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Pausedell] weyer.exe
O4 - HKCU\..\Run: [Spools] Spools.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm






Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Gå i start -> søg og søg efter disse filer og mapper:

Mapper:

Ingen

Filer:

C:\winnt\system32\cvssdp.exe
C:\WINNT\system32\dmsvc32.exe
C:\WINNT\system32\smsvc32.exe
C:\WINNT\system32\Spools.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\windrive.exe

Hent den her scanner:
http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Derefter genstarter du og sender en ny log ind til check
Avatar billede motyl Nybegynder
03. december 2004 - 19:47 #3
Hej andersenhp.

Jeg har fulgt din vejledning har denne log klar:

Logfile of HijackThis v1.98.2
Scan saved at 19:45:26, on 03-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Micrsoft Driver] windrive.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede andersenph Nybegynder
04. december 2004 - 10:20 #4
O4 - HKCU\..\Run: [Micrsoft Driver] windrive.exe
Denne skal lige fixes.
Bliv ved til den er væk.

Ellers er loggen fin. Men kom lige med een til check, når du er færdig :O)
Husk at genstarte inden du laver loggen....
Avatar billede motyl Nybegynder
04. december 2004 - 14:07 #5
Hej Andersenph.

Så har jeg fixet "O4 - HKCU\..\Run: [Micrsoft Driver] windrive.exe", men det ser ud som om at den der hedder sp1fix.exe kommer igen i tide og utide. Tror du evt. at der kan være tale om en anden fil, der opretter sp1fix.exe ved opstart af computeren?

Her er min nye log:

Logfile of HijackThis v1.98.2
Scan saved at 14:03:39, on 04-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede motyl Nybegynder
04. december 2004 - 15:11 #6
...filerne windrive.exe og Hell.exe dukker op på ny, hver gang jeg genstarter computeren. Kan der være et andet program der opretter dem?...i såfald hvordan finder jeg denne satan?
Avatar billede andersenph Nybegynder
04. december 2004 - 20:50 #7
Tryk ctrl+alt+delete og gå i joblisten (taskmanager) luk windrive.exe og hell.exe ned. Så burde du kunne slette dem.

Genstart og se om ikke de er væk :O)
Avatar billede motyl Nybegynder
05. december 2004 - 13:50 #8
Hej igen.

Når jeg kører HijackThis er Hell.exe listet op to gange, men i joblisten er den ikke præsenteret og jeg kan heller ikke finde den på computeren ved søgning.

Nogle gange kommer min TrojanHunter Guard med en besked om at en SDBot.224 forsøger få adgang til hukommelsen. Jeg ved ikke hvad dette er for en virus, men det ser ikke ud til at jeg har nogle programmer der kan finde og fjerne denne bot.
Avatar billede andersenph Nybegynder
05. december 2004 - 17:16 #9
Prøv at opdatere dit Trojanhunter. Så burde du kunne nappe den :O)
Avatar billede motyl Nybegynder
05. december 2004 - 19:25 #10
Hej Andersen.

Så er den gal igen. Jeg får hele tiden en virusadvarsen af Norman og TrjanHunter Gurd. Selv om begge programmer er fuld opdateret, kan de ikke definitivt fjerne disse vira.
Har du evt. en plan B til mig?

- - - - - -

Logfile of HijackThis v1.98.2
Scan saved at 19:23:01, on 05-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\rcf.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\crss.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\msgfix.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\msgfix.exe
C:\winnt\system32\fqeeqfap.exe
C:\WINNT\system32\dqddss.exe
C:\Programmer\TrojanHunter 4.0\TrojanHunter.exe
C:\WINNT\system32\msgfix.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Configuration Loader] systemry.exe
O4 - HKLM\..\Run: [messenger.exe] Hell.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [vsddsas] C:\winnt\system32\fqeeqfap.exe
O4 - HKLM\..\Run: [ffeqfqs] dqddss.exe
O4 - HKLM\..\RunServices: [messenger.exe] Hell.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\RunServices: [ffeqfqs] dqddss.exe
O4 - HKCU\..\Run: [Rcf Driver] rcf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede andersenph Nybegynder
05. december 2004 - 19:28 #11
http://www.simplysup.com/tremover/download.html
Prøv denne nye trojan remover. Den skulle efter sigende være rigtig god.

Kom med en ny log, når du har kørt den og genstartet :O)
Avatar billede motyl Nybegynder
07. december 2004 - 01:05 #12
Hej igen Andersen.

Den er helt gal igen. Jeg får konstant nye trojaner ind på computeren og det ser ikke ud til at jeg kan fjerne dem vha. de forskellige virusscannere. Hvad tror du løsningen er? Kan det betyde en formaterng af computeren?

Her er min sidste log:

Logfile of HijackThis v1.98.2
Scan saved at 01:03:41, on 07-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\dqddss.exe
C:\WINNT\system32\msgfix.exe
C:\winnt\system32\fqeeqfap.exe
C:\WINNT\system32\rcf.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\Spools.exe
C:\WINNT\system32\dqddss.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\msgfix.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [messenger.exe] Hell.exe
O4 - HKLM\..\Run: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [ffeqfqs] dqddss.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\Run: [vsddsas] C:\winnt\system32\fqeeqfap.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmer\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Loaders] systemys.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Spools] Spools.exe
O4 - HKLM\..\RunServices: [ffeqfqs] dqddss.exe
O4 - HKLM\..\RunServices: [messenger.exe] Hell.exe
O4 - HKLM\..\RunServices: [Loaders] systemys.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Spools] Spools.exe
O4 - HKCU\..\Run: [ffeqfqs] dqddss.exe
O4 - HKCU\..\Run: [Rcf Driver] rcf.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [Spools] Spools.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede andersenph Nybegynder
07. december 2004 - 21:22 #13
Vi prøver lige een gang til.

Hent og Installer ReSupreme:

http://www.macecraft.com/brief_rs/
Gratis i 30 dage og giver fuld funktionalitet i 30 dage. (den skal du bruge senere)
___________________________________________________


Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.


Start op i fejlsikret tilstand og fix disse:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
O4 - HKLM\..\Run: [messenger.exe] Hell.exe
O4 - HKLM\..\Run: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [ffeqfqs] dqddss.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\Run: [vsddsas] C:\winnt\system32\fqeeqfap.exe
O4 - HKLM\..\Run: [Loaders] systemys.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [Spools] Spools.exe
O4 - HKLM\..\RunServices: [ffeqfqs] dqddss.exe
O4 - HKLM\..\RunServices: [messenger.exe] Hell.exe
O4 - HKLM\..\RunServices: [Loaders] systemys.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Spools] Spools.exe
O4 - HKCU\..\Run: [ffeqfqs] dqddss.exe
O4 - HKCU\..\Run: [Rcf Driver] rcf.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [Spools] Spools.exe

Bliv i fejlsikret og slet alle de exe filer jeg bad dig fixe.
+ denne fqeeqfap.exe

Kør så RegSupreme, som du har hentet tidligere og fix/fjern det den finder.

Kør Mvav scanneren fra tidligere og genstart. Indsend ny log til kontrol :O)
Avatar billede motyl Nybegynder
08. december 2004 - 21:07 #14
Jeg får hele tiden besøg af den trojan der hedder sp1fix.exe. Desuden er det pludselig blevet oprettet to nye mapper på alle mine drev, som hedder "RECYCLER" og "System Volume Information". Den sidst nævnte kan jeg slet ikke åbne, mens RECYCLER's indhold heller ikke kan slettes. Hvad er det for noget stads?

Her er min seneste log, men sp1fix.exe er der underligt nok ikke:

Logfile of HijackThis v1.98.2
Scan saved at 21:07:39, on 08-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Borland\InterBase\bin\ibguard.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\anvshell.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Borland\InterBase\bin\ibserver.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\WINNT\system32\vmsvc32.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Brian\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmer\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VirOsvc] vmsvc32.exe
O4 - HKLM\..\RunServices: [VirOsvc] vmsvc32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
Avatar billede motyl Nybegynder
08. december 2004 - 21:08 #15
Der meldes nogle gange om virus i disse mapper af min Avast antivirus !
Avatar billede andersenph Nybegynder
10. december 2004 - 20:31 #16
Start op i fejlsikret tilstand og fix disse:
O4 - HKLM\..\Run: [VirOsvc] vmsvc32.exe
O4 - HKLM\..\RunServices: [VirOsvc] vmsvc32.exe

Find og slet denne fil:
C:\WINNT\system32\vmsvc32.exe

Se om du kan slette indholdet af de recyklermapper i fejlsikret tilstand.

Kør alle disse scannere:
http://www.bitdefender.com/scan/license.php
http://www.pandasoftware.com/activescan...ncipal.htm
http://housecall.trendmicro.com/

Genstart når de er færdig.
Kom med en ny log :O)
Avatar billede motyl Nybegynder
11. oktober 2006 - 09:26 #17
Hej Andersenph. Skriver du ikke lige, så jeg kan lukke spørgsmålet?
Avatar billede andersenph Nybegynder
11. oktober 2006 - 21:11 #18
Du beholder bare dine point. Vi fik vist ikke renset dig færdigt :o)
Avatar billede motyl Nybegynder
11. oktober 2006 - 23:42 #19
Okay, så siger vi det. Ellers tak for den hjælp jeg fik ;)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »