Søg
Avatar billede primum_movens Nybegynder
12. januar 2005 - 16:42 Der er 26 kommentarer og
1 løsning

Hijackthis Log: En Trojaner har huseret

Har haft besøg af trojaneren W32/Starpage.GJ og ville være dybt taknemmelig, hvis en eller anden venlig sjæl lige ville løbe loggen igennem.

Jeg har kørt Ad-Aware, Spybot og selvfølgelig scannet med et antivirus program (Norman).

Den forbandede trojaner har leget lidt med Internet Explorer og bestemmer suverænt over hvilken side, der angives som startside.

På forhånd tak
Kasper

Log følger:

Logfile of HijackThis v1.99.0
Scan saved at 16:28:22, on 12-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Programmer\Norman\Nvc\Bin\Zanda.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NYMSE.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\NIP.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\npfmsg2.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\nipsvc.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\nvcoas.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\MSN\MSNCoreFiles\msn6.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Kasper\Skrivebord\Hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMMER\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095321872783
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Programmer\Norman\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\PROGRAMMER\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\PROGRAMMER\NORMAN\Nvc\BIN\NVCSCHED.EXE
Avatar billede levich Nybegynder
12. januar 2005 - 17:13 #1
Jeg ser på den
Avatar billede levich Nybegynder
12. januar 2005 - 17:18 #2
Fix følgende:
O13 - WWW. Prefix: http://
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Den her er jeg lidt i tvivl om:
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 17:22 #3
Hej.

Håber, jeg må komme med et input. Din log er egl. ikke så slem, men der er lidt, der lige skal fixes.

Start med at deaktivere systemgendannelse.
(Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik OK.)

Genstart, download og kør flg. programmer:

A2 trojan & spyware hunter (Trial version)
http://www.emsisoft.com/en/software/free/

Kaspersky engangsscanner
http://www.mwti.net/download/tools/mwav.exe

Kør så en ny scanning med HJT og sæt flueben ved disse:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O13 - WWW. Prefix: http://

Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”.

Luk programmet og genstart i fejlsikret tilstand.
(Tryk F8 gentagne gange ved opstart)

Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler.
(Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".)

C:\WINDOWS\ietlbass.dll <<<< Slet filen

Ændr derefter mappeindstillinger tilbage til ikke at vise skjule filer og skjulte systemfiler.

Genstart normalt. Kør en ny scanning med HJT og smid loggen herind til kontrol.
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 17:24 #4
DAMN, undskyld, levich .... så ikke, at du imellem tiden havde postet :o/. Undskyld.
Avatar billede primum_movens Nybegynder
12. januar 2005 - 17:30 #5
Hvad med:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Denne her er vist et eksemplar af trojaneren selv, den havde jeg ikke set:
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 17:31 #6
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Ovenstående skal ikke fixes.
Avatar billede primum_movens Nybegynder
12. januar 2005 - 17:33 #7
Havde ikke lige set cookie_II's indlæg. Vender tilbage med resultaterne. Tak til jer begge!
Avatar billede levich Nybegynder
12. januar 2005 - 17:39 #8
Prøv at genstarte i fejlsikret tilstand, og fjern denne fil manuelt: C:\WINDOWS\ietlbass.dll.
Avatar billede levich Nybegynder
12. januar 2005 - 17:44 #9
Ok, nu er det blevet uoverskueligt.

Deaktiver systemgendannelse, som cookie_II skriver. Genstart i fejlsikret tilstand og fjern filen C:\WINDOWS\ietlbass.dll. Umiddelbart herefter kør HijackThis igen og fix de tre linjer jeg nævnte først.
Avatar billede primum_movens Nybegynder
12. januar 2005 - 18:27 #10
Nedenfor er den seneste HijackThis log. Kaspersky engangsscanneren fandt i øvrigt følgende filer:
C:\WINDOWS\toolband.dll
C:\DOCUME~1\Kasper\LOKALE~1\TEMPOR~1\Content.IE5\8FDNQUFL\TLBAss012345678[1].txt
Skal jeg slette dem i fejlsikret?

HijackThis log:
Logfile of HijackThis v1.99.0
Scan saved at 18:16:20, on 12-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\a2\a2guard.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Programmer\Norman\Nvc\Bin\Zanda.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NYMSE.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\NIP.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\npfmsg2.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\PROGRAMMER\NORMAN\Nvc\BIN\nipsvc.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\nvcoas.exe
C:\PROGRAMMER\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Kasper\Skrivebord\Hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMMER\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programmer\a2\a2guard.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095321872783
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman API-hooking helper - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\PROGRAMMER\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Programmer\Norman\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\PROGRAMMER\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\PROGRAMMER\NORMAN\Nvc\BIN\NVCSCHED.EXE
Avatar billede primum_movens Nybegynder
12. januar 2005 - 18:30 #11
Kan se at jeg overså:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Men den har vel ikke høj prioritet da den stammer fra online virus scanner?
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 18:34 #12
Jeg vil normalt IKKE fixe:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

>>> levich, jeg går ud fra, du gerne vil checke kontrol-loggen, så skal nok blande mig uden om nu.... holder mig på sidelinien og svarer kun, hvis en af jer spørger mig direkte ;o).

//Cookie_II
Avatar billede primum_movens Nybegynder
12. januar 2005 - 18:38 #13
Helt fint, venter på levich's gennemgang af loggen så! Men hvad med de filer Kaspersky fandt? Kan jeg bare slette dem?
Avatar billede levich Nybegynder
12. januar 2005 - 18:41 #14
Jo, fix også den linje. Det der akamai.net er noget lort. PS: Det har ikke noget at gøre med trendmicro.com.
Avatar billede arlet Juniormester
12. januar 2005 - 18:46 #15
Den linje ER fra housecall.. og vil komme igen næste gang man kører housecall

levich-> Det er vist længe siden, du sidst har kørt et scan med housecall*S*
Avatar billede levich Nybegynder
12. januar 2005 - 18:47 #16
Mht. de filer Kaspersky fandt. Du kan roligt flette txt-filen. toolband.dll kan have noget at gøre med en Canon printer. Men hvis du ikke har sådan en, så kan du godt slette den.
Avatar billede levich Nybegynder
12. januar 2005 - 18:49 #17
Har aldrig kørt housecall, nej :-), men du kan godt fixe linjen.
Avatar billede primum_movens Nybegynder
12. januar 2005 - 19:02 #18
Okay, Housecall eller ej, den linje er nu fixet. Sletter også de to filer Kaspersky fandt, da jeg aldrig har været i nærheden af en Canon printer med denne pc. Så er den vist i orden igen.

Hvis der lige bliver lagt et par svar ud, vil jeg forsøge at fordele nogen point på retfærdig vis.

Jeg takker mange gange for hjælpen!
Avatar billede levich Nybegynder
12. januar 2005 - 19:07 #19
Selv tak
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 19:09 #20
>> primum movens, godt, vi fik renset din PC :o)! Husk at aktivere systemgendannelsen igen!

Tak, men giv du bare pointene til levich (og evt. Arlet). Du kan give mig lidt karma i stedet for, hvis du mener, jeg har gjort mig fortjent til det :o). Safe surfing!

//Cookie_II
Avatar billede arlet Juniormester
12. januar 2005 - 19:10 #21
Jeg blandede mig bare lidt*S*

Fortsat god dag
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 19:15 #22
>> arlet - jamen, så går alle pointene til levich. Det bliver han nok glad for :o).

Tak, og fortsat god aften til dig - hvis din hilsen altså også gjaldt mig ;D!
Avatar billede arlet Juniormester
12. januar 2005 - 19:16 #23
Selvfølgelig galdt den også dig*S*
Avatar billede levich Nybegynder
12. januar 2005 - 19:18 #24
Pointene er gode at få, men det er mindst lige så vigtigt for mig at øge min viden, hvilket jeg gør her på www.eksperten.dk.
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 19:23 #25
>> levich, kan godt forstå din interesse for Sikkerhed ... jeg brænder selv for det :o)!

Ha' en god aften allesammen.
Avatar billede primum_movens Nybegynder
12. januar 2005 - 20:17 #26
Point er hermed givet. Har smidt lidt god karma i Cookie_II's og arlets retning.

Endnu engang tak!
Avatar billede cookie_ll Nybegynder
12. januar 2005 - 22:11 #27
>> primum movens
Selv tak - og 1.000 tak for de pæne ord, der fulgte med det gode karma, du sendte i min retning ;o)!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:15 PHP Html Af Asky i Programmeringsværktøjer
I dag 11:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
I går 16:53 HTML Af Asky i Programmeringsværktøjer
I går 10:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »