CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

morten_b Nybegynder

14. februar 2005 - 02:33 Der er 25 kommentarer og
1 løsning

Trojan problemer inkl. Hijackthis log

Jeg har store problemer med en PC som konstant får Trojan horses installeret. De popper konstant op i virusprogrammet (Avast), Adaware finder nye hver gang man kører det, og der popper browservinduer op hele tiden.

Den kører WinXP Pro og har samtlige updates, inkl. SP1+2. Windows Firewall er aktiveret, men hver gang jeg genstarter computeren er den blevet deaktiveret igen. Har ligeledes prøvet med Sygate Firewall, men det hjælper heller intet.

Hijackthis log:

Logfile of HijackThis v1.99.0
Scan saved at 02:27:45, on 14-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wxmct.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wxmct.exe
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\Joxcvm.exe
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmer\Avast4\aswUpdSv.exe
C:\Programmer\Avast4\ashServ.exe
C:\WINDOWS\system32\wxmct.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wxmct.exe
C:\Documents and Settings\User\Skrivebord\HijackThis.exe
C:\Programmer\Avast4\ashMaiSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\Run: [dFue8GiC] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\Ffckiz.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\system32\Joxcvm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [dFue80+¿ÔÇè]Iú" ‹üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔ@ÔÁÔ] ú"ü‰üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔÁÔ] ú"ü‰üžigC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8Ý9¿Ì*ú]Mú*ÀaîžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108330201140
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\system32\wxmct.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Avast4\ashMaiSv.exe

Synes godt om

morten_b Nybegynder

14. februar 2005 - 02:34 #1

Logfile of HijackThis v1.99.0
Scan saved at 02:33:03, on 14-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wxmct.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wxmct.exe
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\Joxcvm.exe
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmer\Avast4\aswUpdSv.exe
C:\Programmer\Avast4\ashServ.exe
C:\WINDOWS\system32\wxmct.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Documents and Settings\User\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\Run: [dFue8GiC] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\Ffckiz.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\system32\Joxcvm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [dFue80+¿ÔÇè]Iú" ‹üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔ@ÔÁÔ]ú"ü‰üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔÁÔ]ú"ü‰üžigC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8Ý9¿Ì*ú]Mú*ÀaîžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108330201140
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\system32\wxmct.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Avast4\ashMaiSv.exe

Synes godt om

morten_b Nybegynder

14. februar 2005 - 11:52 #2

Come on! Der må være nogle eksperter derude der kan hjælpe mig.

Synes godt om

tonnybrandt Nybegynder

14. februar 2005 - 12:12 #3

Hvis ingen andre tager den, skal jeg nok kigge på den om nogle timer, når jeg er kommet hjem ...

Synes godt om

ejvindh Ekspert

14. februar 2005 - 12:52 #4

Jeg kigger lige på den så... :-)

Synes godt om

ejvindh Ekspert

14. februar 2005 - 12:57 #5

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede (nogle af dem er muligvis allerede blevet slettet af Hijackthis).

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\Run: [dFue8GiC] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\Ffckiz.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\system32\Joxcvm.exe
O4 - HKLM\..\Run: [dFue80+¿ÔÇè]Iú" ‹üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔ@ÔÁÔ]ú"ü‰üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔÁÔ]ú"ü‰üžigC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8Ý9¿Ì*ú]Mú*ÀaîžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe
O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\system32\wxmct.exe

Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
C:\Programmer\ISTsvc
-------------------
Filer:
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\Ffckiz.exe
C:\WINDOWS\system32\Joxcvm.exe
C:\WINDOWS\system32\wxmct.exe

Prøv også at søge vha. stifinder om du kan finde denne fil, og slette den:
npfw32.exe
---------------------------------------
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv. Send en ny log ind til check.

Synes godt om

morten_b Nybegynder

14. februar 2005 - 13:25 #6

Nu har jeg gjort alt hvad du sagde. Fjernet filerne/reg.entries, slettet filer i fejlsikret tilstand og kørt mwav som fandt følgende:

File C:\WINDOWS\mmbun2.exe tagged as not-a-virus:AdWare.MediaMotor.a. No Action Taken.
File C:\WINDOWS\unstall.exe tagged as not-a-virus:AdWare.MediaMotor.a. No Action Taken.
File C:\WINDOWS\system32\doolsav.dat tagged as not-a-virus:AdWare.ToolBar.EliteBar.z. No Action Taken.
File C:\WINDOWS\system32\winlog.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.

Men så vidt jeg kan se intet gjorde ved adwares?

Ny log:

Logfile of HijackThis v1.99.0
Scan saved at 13:25:57, on 14-02-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Avast4\aswUpdSv.exe
C:\Programmer\Avast4\ashServ.exe
C:\Programmer\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wxmct.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\User\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [dFue80+¿ÔÇè]Iú" ‹üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔ@ÔÁÔ]ú"ü‰üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔÁÔ]ú"ü‰üžigC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8Ý9¿Ì*ú]Mú*ÀaîžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\Run: [dFue8GiC] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmct.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wxmct.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108330201140
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\system32\wxmct.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Avast4\ashMaiSv.exe

Synes godt om

morten_b Nybegynder

14. februar 2005 - 13:26 #7

Som det kan ses er det hele tilbage...

Synes godt om

morten_b Nybegynder

14. februar 2005 - 13:32 #8

Havde glemt at sætte prikker i mwav, kører igen nu

Synes godt om

majsmarken Nybegynder

14. februar 2005 - 13:45 #9

<ejvindh>: Her står noget om denne dims: http://www.doxdesk.com/parasite/ISTbar.html
Du ruller bare videre...

Synes godt om

ejvindh Ekspert

14. februar 2005 - 14:01 #10

Majsmarken: Tak for linket. Jeg kender det godt, men det er faktisk nogle gange det lykkes at komme af med IstBar'en med en almindelig HJT-kørsel. :-)

morten_b: Ja, det undrede mig også lidt at du var så hurtigt tilbage fra en Mwav-scanning :-) Læg gerne en ny log, når den scanning er færdig.

Synes godt om

ejvindh Ekspert

14. februar 2005 - 14:37 #11

morten_b: I øvrigt, så er det nu ikke rigtigt at det hele er tilbage. Følgende filer er foreløbig blevet deaktiverede: realsched.exe, Ffckiz.exe, Joxcvm.exe, npfw32.exe
:-)

Synes godt om

ejvindh Ekspert

14. februar 2005 - 16:55 #12

Jeg bliver efterhånden nok nødt til at logge af for i dag. I ventetiden har jeg udfærdiget følgende forslag, hvis du kan se, at der stadig er diverse entries med ISTsvc.exe i din HJT-log (den foreløbige log inden du kørte Mwav i dybden så jo ikke så positiv ud...). Andre er naturligvis velkomne til at tage over i denne tråd, hvis det bliver nødvendigt.

-------------------------------
Gå først i i tilføj/fjern og fjern følgende programmer (hvis de findes):
IST Service/ISTsvc
ISTbar
-------------------------------
Hent og kør dette program:
http://securityresponse.symantec.com/avcenter/FxIstbar.exe
-------------------------------
Kør herefter programmet Ad-aware, som du jo har i forvejen. Opdater det inden du kører en scanning med denne. Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware
Fjern alt hvad den finder.
-------------------------------
Kør herefter Hijackthis igen, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede (nogle af dem er muligvis allerede blevet slettet af Hijackthis).

O4 - HKLM\..\Run: [*wuauclt.exe] wxmct.exe
O4 - HKLM\..\Run: [dFue8GiC] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue80+¿ÔÇè]Iú" ‹üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔ@ÔÁÔ]ú"ü‰üžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8ÏÔÁÔ]ú"ü‰üžigC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [dFue8Ý9¿Ì*ú]Mú*ÀaîžC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\kldvt.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmct.exe
O4 - HKCU\..\Run: [*wuauclt.exe] wxmct.exe
O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\system32\wxmct.exe

Sletning af filer og mapper:
Mapper:
C:\Programmer\ISTsvc

Filer:
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\wxmct.exe

Genstart herefter computeren i normal tilstand, og kør Hijackthis igen.
------------------------
Hvis du kan se at de forskellige entries med ISTsvc er væk, så send loggen herind. Så vil jeg foretage et sidste check.
Hvis ikke, så prøv følgende procedure:

Problemet er så, at du ikke har lykkedes med at få filerne slettet:
http://downloads.subratam.org/KillBox.zip
http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm

Pak Killbox ud i en mappe for sig selv og følg brugsanvisningen. Det er vigtigt, at du afbryder forbindelsen til internettet inden du sletter nedenstående filer - hiv internetstikket ud af computeren.

Det er disse mapper/filer, du skal prøve at slette med KillBox (hvis de stadig ikke ER blevet fjernet):
C:\Programmer\ISTsvc\
C:\WINDOWS\kldvt.exe
C:\WINDOWS\system32\wxmct.exe

Kør KillBox, sæt prik i "Delete on reboot". Kopier linien ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar JA, og din computer vil genstarte.

Læg derefter en ny HJT-log. Så tager vi den derfra.

Synes godt om

ejvindh Ekspert

16. februar 2005 - 17:05 #13

morten_b: Når jeg hoppede ind foran tonnybrandt ovenfor var det fordi jeg havde indtryk af at det hastede for dig med rensningen. Har du prøvet den vejledning jeg gav ovenfor, og hvordan er det gået. Skal du have et check af en ny log?

Synes godt om

morten_b Nybegynder

17. februar 2005 - 01:51 #14

Jeg kørte mwav hvilket tog langt over en time, den fandt en hel bunke ting, inklusiv en række ting den skulle slette efter restart. Jeg restartede derfor og mwav startede op, men gik i stå (lod den stå i flere timer uden fremskridt).

Jeg genstartede derfor computeren, men nu kan Windows slet ikke starte...

Tror der er dømt formattering og starten forfra (igen)

Nu jeg har fat på nogle der lyder som om de har forstand på det har jeg lige et tillægsspørgsmål:

Det er ikke første gang dette sker på denne computer. Jeg har tidligere taget den hjem til mig selv, formateret alting og derefter geninstalleret fra bunden, pga trojans/virus. Jeg tjekkede den så igennem for alting og der var ingenting at finde. Det mærkelige opstod så snart jeg tog computeren ud til mine forældre og satte den på deres netværk.

Vi startede den bare og lod den stå uden at røre noget. Og der gik ikke mere end 1 min før den første Trojan var installeret og efter mindre end 5 minutter var der ikke mindre end 56 trojans og virusser på computeren! Alle andre computere på netværket var slukket, så hvor pokker kommer dette fra, og hvordan kan det bare installere sig selv? Hvis det er fra nettet, hvorfor fungerer den så uden problemer på nettet hjemme hos mig?

Synes godt om

majsmarken Nybegynder

17. februar 2005 - 06:57 #15

Nok har du SP2 på men er firewall også aktiveret ?

Synes godt om

ejvindh Ekspert

17. februar 2005 - 10:59 #16

Jeg har svært ved at svare dig på det. Men Majsmarken har nok ret i, at forskellen måske kan findes i, hvorvidt man har firewall installeret. Det kan være at det netværk du kobler op på derhjemme er bedre beskyttet af en computer-ekstern firewall end det dine forældre kobler op på.

Du kan prøve at installere sygates firewall (i tillæg til den der findes i Xp's SP2)
http://www.snapfiles.com/get/sygatefw.html

Udover at lægge Sp2 ind, kan det efterhånden også være en god ide at supplere med en Windows-update, idet der også er fundet huller i SP2.

Hvis du vil vide mere om firewall's kan det være vi skal prøve om vi kan praje bufferzone et sted fra, idet han er uovertruffen på det område.

Angående dit nuværende problem: Når der fjernes mange vira fra en computer er det ikke unormalt at XP-installationen får det dårligt (mange orme angriber jo systemfilerne). I sådanne tilfælde kan det nogle gange være en god idé bare at lave en nyinstalllation: så er man dels sikker på at det hele er væk, og at installationen er ubeskadiget. Men det kan også nogle gange lykkes at få computeren køre tilfredsstillende ved bare at lave en sfc-scanning eller (hvis du slet ikke kan komme ind i windows) en repair. Hvis du ikke ved hvordan, så se her:
http://www.hcma.dk/tips&tricks.htm#sfc
http://www.hcma.dk/tips&tricks.htm#install_repair

Så bevarer du dine indstillinger (dog skal du efterfølgende køre Windows-update, idet repair sætter maskinen tilbage til det sikkerhedsniveau der er på din XP-skive).

Følgende programmer kan også være med til at immunisere dig imod en del snavs (de ville dog ikke have hjulpet i det tilfælde hvor computeren bare står passivt og modtager trojanere...): Spywareguard, Spywareblaster, IE-spyad. Desuden kunne du også aktivere Teatimer i Spybot. Alle programmer findes på
http://www.spywarefri.dk/vaerktoj.htm

Synes godt om

ejvindh Ekspert

17. februar 2005 - 11:05 #17

Du melder bare tilbage, hvis du vælger repair-modellen fremfor formateringen. For så skal vi have efterset, hvor mange af vira'ene du er kommet af med indtil videre :-)

Hvis du vælger at formatere, kan du bare lægge et svar selv og godkende det for at få tråden lukket.

Synes godt om

morten_b Nybegynder

17. februar 2005 - 15:48 #18

WinXP var fuldt opdateret med alle servicepacks og upgrades. WinXP Firewall var slået til, men jeg opdagede efter at have genstartet hos mine forældre en enkelt gang at den slog fra hver eneste gang jeg genstartede computeren...

Vi forsøgte at installere Sygate og den så også ud til at blokere en del, men åbenbart slet ikke nok.

Forskellen i min og mine forældres forbindelse er at jeg har en router mens mine forældre har et ADSL modem. Hvis det er et problem med forbindelsen undrer det mig dog at de andre computere på netværket ikke har nogen problemer overhovedet.

Synes godt om

ejvindh Ekspert

18. februar 2005 - 09:30 #19

Angående Sygate så gælder det nok, at den helst skal være installeret inden man sætter computeren til et usikkert netværk. Når der først er trojanere inde på computeren, vil den nok ikke effektivt kunne beskytte en computer mere.

For at have en computer der er sikret imod det l*rt skal man have følgende:
En fornuftig bruger :-)
Et opdateret styresystem
Et opdateret antivirusprogram
Opdaterede antispywareprogrammer
Firewall -- gerne både software og hardware.

Allerbedst er det, hvis man kan få alt dette op at stå inden man kobler på noget netværk.

Jeg må indrømme at firewall's er ikke min stærkeste side (idet der er taget hånd om den slags ting på det netværk, hvor jeg kobler op), men udfra hvad du siger så tror jeg stadig at jeres problem har været det sidste punkt. Jeg gætter på at den router du derhjemme kobler op igennem også har indbygget en hardware-firewall, og at dette kan være grunden til den større sikkerhed derhjemme i forhold til hos dine forældre.

Men for ikke at lege kloge-åge uden fundament, vil jeg hellere prøve om jeg kan praje et par af Ekspertens brugere som ved mere om firewalls og netværk end jeg: Bufferzone og Kenp. Så kan vi jo se om de kan bidrage til bedre belysning af dit problem.

Synes godt om

ejvindh Ekspert

18. februar 2005 - 09:32 #20

Jeg "lytter" naturligvis stadig med, og hvis du får lyst til at fortsætte rensningen af computeren, siger du bare til :-)

Synes godt om

ejvindh Ekspert

25. februar 2005 - 12:55 #21

Nå, jeg kan se at hverken bufferzone eller kenp har kommenteret. Jeg gætter på at det er fordi der ikke var så meget at tilføje.

Gider du ikke lige give en tilbagemelding på hvordan du er gået videre, og hvis du har formateret så få lukket spørgsmålet? Så slipper jeg nemlig for at skulle blive ved med at "kigge forbi" for at se om her behøves mere hjælp. :-)

Synes godt om

ejvindh Ekspert

23. marts 2005 - 13:17 #22

Tid til at lukke ?

Synes godt om

ejvindh Ekspert

11. april 2005 - 14:36 #23

morten_b: Jeg kan se at du normalt er rimelig flittig til at lukke dine tråde efter dig. Er der nogen særlig grund til at du ikke lukker denne?

Synes godt om

morten_b Nybegynder

14. april 2005 - 11:45 #24

Status på sagen er at mine forældre fik en anden til at geninstallere forfra hjemme hos ham (fordi jeg var out of town) og nu ser den underligt nok ud til at fungere fint. Også uden Firewall og med kun den medfølgende McAfee VirusScan installeret.

Har kørt i snart en måned uden problemer, og uden nogle trojans fundet.

Kan ikke lide at lukke et spm og tage point selv når du nu har været så hjælpsom. Kan du ikke lige lave et svar så får du de 30 point :)

Synes godt om

ejvindh Ekspert

14. april 2005 - 12:03 #25

OK, så lægger jeg da et svar -- selvom jeg også har det lidt underligt med at modtage point for en computer, der endte med at blive formateret :-)

Det lyder godt, at computeren fungerer igen. Hvis det er den nyeste McAfee de kører med, så mener jeg faktisk at der ER firewall inkluderet. Ellers vil jeg nok stadig anbefale dem at få det lagt ind. Selvom det kører godt nu, så kunne det jo hurtigt ændre sig, hvis der var nogen/noget der gav sig til at scanne computeren for adgang. :-)

Synes godt om

morten_b Nybegynder

15. april 2005 - 16:26 #26

Tror det er en temmelig low-budget udgave af McAfee som fulgte med computeren. Den har kun VirusScan on-access, alt andet er slået fra.

TDC har sendt et nyt ADSL modem nu på baggrund af mine forældres klager, ved ikke om det vil ændre noget...

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53
Total AV Af Malm i Virus	10	16/01/202516:48	17/01/202520:47
pop up black friday Af Malm i Virus	12	22/11/202420:49	03/12/202411:04

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS