Trojan.Win32.Zapchast

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Logfile of HijackThis v1.99.1
Scan saved at 10:11:05, on 08-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\F-Secure Anti-Virus\Common\FSM32.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programmer\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
C:\Programmer\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE
C:\Programmer\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
C:\Programmer\F-Secure Anti-Virus\Anti-Virus\fssm32.exe
C:\Programmer\F-Secure Anti-Virus\Common\FSMA32.EXE
C:\Programmer\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
C:\Programmer\F-Secure Anti-Virus\Common\FSMB32.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\F-Secure Anti-Virus\Common\FCH32.EXE
C:\Programmer\F-Secure Anti-Virus\Common\FAMEH32.EXE
C:\Programmer\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
C:\Programmer\F-Secure Anti-Virus\Anti-Virus\fsav32.exe
C:\Programmer\F-Secure Anti-Virus\FSGUI\fsguiexe.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programmer\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\F-Secure Anti-Virus\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programmer\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100814073656
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programmer\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programmer\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\F-Secure Anti-Virus\Common\FSMA32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Tror ikke du finder noget i den log Tonny

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41451
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088189

tonnybrandt, kan du få noget ud af min log fil?

Det kan han ikke nej..(ren log) du har fået 2 links til hvordan man fjerner den helt.. hvis ikke den er det.. kan oversætte eller Tonny kan evt.

ellers ved virus angreb kan denne scanner anbefales
http://www.spywareinfo.dk/download/mwav.exe

genstart i fejlsikret tilstand og slå hele opsætningen til i mwav.. lad den scanne

Loggen er ganske rigtigt ren.

Hvad mener du med at den har omdøbt nogle filer ?
Hvilke filer er det ?

Ifølge de sider jeg har fundet om virus'en SKAL den lægge sig selv ind i en run-key og der er den ikke (længere). De runkeys kan ses i loggen.

synes ikke rigtig jeg kan få noget ud af dine links kalp, tør sgu ikke rigtig springe ud i at slette den manuelt, har vi ingen alternativer?

okay svar hellere på Tonny's spørgsmål angående dine exe filer... og du behøver åbenbart ikke rode ved regedit alligevel:)

den har udløst sig 3 gange i en mappe hvor jeg havde bullet proof server 2.21 liggende....

Har slettet mappen nu...

Tror jeg kører en ny full scan af mine harddiske ik?

så gør det med den scanner jeg anbefalede

Jo, og så læg mærke til hvad den finder. For umiddelbart ser der ikke ud til at være noget i vejen.
Virus'en skal faktisk heller ikke slette filer. Derfor virker det lidt underligt at den skulle begynde at slette filer. Det er blot en "downloader".

på CA siden?

Hvis det virker uoverskueligt kan du kopire loggen fra mwav herind når den er færdig

nej den sletter dem hellere ikke, men f-secure omdøber filerne og så er de jo lidt ubrugelige efter, prøvede at kører en scaning på filen efter den var blevet omdøbt og den indholdt stadig virus...

Har du nogle navne på de filer den har omdøbt ?

jeg er igang med at scanne via CA online scanner, tager lige lidt tid....

ftpsetup.exe og så kan jeg ikke se flere navne da jeg har slettet mappen...

lige netop den fil virker ikke så vigtig... ligner bare en indstallationsfil til et program som du har downloadet på et tidspunkt..

evt. ftp client

nej den er også slettet den mappe med den fil i... :o)

nå den kom op med at der ikke var fundet nogen virus...Så mon ikke problemet er løst...

Det ser sådan ud i hvertfald... intet i loggen. Intet fra din scanner så ser ud til du har været heldig

hvordan skal jeg fordele de point, kan ikke rigtig se hvem der har gjort mest?

Du kan bare dele lige over:)

Når tonnyb lige har lagt et svar kan du markere begge vores navne nede i venstre hjørne.. og så trykke accepter.

Her er et svar.

jeg takker!!!

selv tak:)

Velbkomme og takker for point.

problemet er ikke løst, den bliver ved med at poppe frem...

Ok, hvor er det helt præcist at den popper op.
Hvilke filer bliver inficeret/slettet.
Ligger de på et delt drev eller er det i programmer-folderen som tidligere ?

den er kommet op en gang efter i F-Secure at den havde fundet den igen og den havde taget fat i en restore exe fil denne gang og så har F-Secure nu omdøbt denne fil...

Er lidt lost her, har alt for meget på min pc, som ikke må gå tabt...

første gang den brød ud tog den fat i en exe fil på mit H: drev og nu er det så en Restore fil på mit C: drev..

Ok, så er skaden ikke så stor. At den er i _restore folderen, er fordi den har været på dit c: drev, og dette er overvåget af systemgendannelse.

Du fjerner den meget simpelt således:
Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)