Søg
Avatar billede nikolajdu Nybegynder
18. april 2005 - 00:42 Der er 10 kommentarer og
1 løsning

mere spyware obalduyam.net

Så er jeg tilbage på spionbanen igen. Denne gang forsøger stifinder ved opstart at connecte til obalduyam.net og IE åbner et nye vindue

(altså 2 vinduer det korrekte od det her) ved opstart http://206.161.205.19/404.html. Desuden findes der i XP repairmappen en fil som jeg

ligegyldigt hvad ikke kan fjerne fontac.dll - norton genkender den som adware, men kan ikke fjerne den. jeg har slået systemgendannelse fra

og kigget alle processer igennem, men nu må jeg ha lidt hjælp.

Running processes:
D:\XP\System32\smss.exe
D:\XP\system32\winlogon.exe
D:\XP\system32\services.exe
D:\XP\system32\lsass.exe
D:\XP\system32\svchost.exe
D:\XP\System32\svchost.exe
F:\Sygate\SPF\smc.exe
D:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\XP\system32\spoolsv.exe
D:\XP\Explorer.EXE
J:\Apache2\Apache2\bin\Apache.exe
D:\XP\system32\drivers\CDAC11BA.EXE
D:\XP\system32\CTsvcCDA.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\mysql\bin\mysqld-nt.exe
F:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
F:\NORTON~1\NORTON~2\NPROTECT.EXE
J:\Apache2\Apache2\bin\Apache.exe
D:\XP\system32\nvsvc32.exe
F:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\SFMGR\sfmgr.exe
D:\XP\System32\svchost.exe
D:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\XP\system32\UAService7.exe
D:\XP\system32\MsPMSPSv.exe
F:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
F:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
D:\XP\system32\CTHELPER.EXE
F:\D-Tools\daemon.exe
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
F:\AD-AWA~1\Ad-Watch.exe
D:\Programmer\PestPatrol\PPControl.exe
D:\Programmer\PestPatrol\PPMemCheck.exe
D:\Programmer\PestPatrol\CookiePatrol.exe
D:\Programmer\PestPatrol\CookiePatrol.exe
D:\XP\htpatch.exe
D:\XP\system32\RUNDLL32.EXE
D:\Programmer\Logitech\MouseWare\system\em_exec.exe
F:\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
D:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\XP\system32\ctfmon.exe
J:\Apache2\Apache2\bin\ApacheMonitor.exe
D:\Programmer\Messenger\msmsgs.exe
D:\XP\system32\wuauclt.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\XP\system32\taskmgr.exe
D:\Documents and Settings\nikolaj\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liverpoolfans.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - D:\XP\repair\fontac.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SiSUSBRG] D:\XP\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTSysVol] f:\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] f:\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\XP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AWMON] "F:\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [SmcService] F:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] D:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HTpatch] D:\XP\htpatch.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\XP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeVersionCue] f:\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\XP\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] F:\ICQ\Icq.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Monitor Apache Servers.lnk = J:\Apache2\Apache2\bin\ApacheMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {89A312AE-8D21-42B1-848B-FD8E27F9A2A9} (PrimeInk for Web Applications Signing Component) - https://webreg.dk/web.dll
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25609377-4959-4059-9194-D320F7BC8A8B}: NameServer = 212.54.64.170,212.54.64.171
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AFDB601-D6EA-4345-93B1-1172A8E2A51A}: NameServer = 212.242.40.3,212.242.40.51
O20 - Winlogon Notify: fontac - D:\XP\repair\fontac.dll
O23 - Service: Apache2 - Unknown owner - J:\Apache2\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\XP\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\XP\system32\CTsvcCDA.exe
O23 - Service: Flash Communication Server (FlashCom) - Macromedia, Inc. - j:\Flash Communication Server MX\FlashCom.exe
O23 - Service: Flash Communication Admin Service (FlashComAdmin) - Macromedia, Inc. - j:\Flash Communication Server MX\FlashComAdmin.exe
O23 - Service: Macromedia Licensing Service - Macromedia - D:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - J:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - F:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - F:\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\XP\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - F:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\SFMGR\sfmgr.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
Avatar billede kalp Novice
18. april 2005 - 08:03 #1
ser på den:)
Avatar billede kalp Novice
18. april 2005 - 08:09 #2
Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - D:\XP\repair\fontac.dll
O20 - Winlogon Notify: fontac - D:\XP\repair\fontac.dll

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet

Filen

D:\XP\repair\fontac.dll

Tryk start->kør og skriv "regedit"
Marker denne computer i regedit vinduet.
Tryk rediger->søg og skriv "fontac.dll"
Slet alt du finder

Genstart normalt og se om det har hjulpet send mig også en ny log samtidig.
Har det ikke hjulpet kan vi ligeså godt gøre klar til en ny log fra følgende.

Hent DllCompare

http://download.broadbandmedic.com/DllCompare.exe
eller
http://www.fbeej.dk/Programmer/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind.
Avatar billede nikolajdu Nybegynder
18. april 2005 - 11:28 #3
Nyt problem. Det lykkedes mig i går at genstarte i fejlsikret tilstand, men i dag så kan jeg ikke. Jeg kommer dertil hvor den skriver "windows kører i fejlsikret..." - den box blinker så jeg ikke kan klikke ok og derefter er der bare sort skærm??
Avatar billede kalp Novice
18. april 2005 - 12:24 #4
prøv så bare et udføre det i normal tilstand til at starte med.. slet evt. filen med drdelete hvis den ikke vil lade sig slette
http://www.docsdownloads.com/Tier1/dr-delete.htm
Avatar billede nikolajdu Nybegynder
18. april 2005 - 12:27 #5
Nu lykkedes det mig i forsøg 28 at genstarte i fejlsikret tilstand, men hjt kan ikke slette skidtet.
Avatar billede kalp Novice
18. april 2005 - 12:28 #6
nej muligvis ikke... men prøv at udføre proceduren trin for trin så ser jeg det i den endelige log:) har taget højde for det nemlig.
Avatar billede nikolajdu Nybegynder
18. april 2005 - 12:48 #7
Dr.Delete havde jeg allerede prøvet og den siger at filen er i brug og vil blive slettet efter genstart, men ak.

Jeg har kørt søgning i registreringsdatabasen og slettet alle 7-10 entries. Hvis jeg så søger igen så er de der igen med det samme.

omkring DllCompare så ser det således ud :

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

D:\XP\SYSTEM32\msexcl35.dll  Thu  9 Sep 1999  23.06.38  A.S..        252.688  246,77 K
D:\XP\SYSTEM32\msjet35.dll    Tue 28 Sep 1999  22.42.48  A.S..      1.050.896    1,00 M
D:\XP\SYSTEM32\msjint35.dll  Thu 10 Jun 1999  10.34.04  A.S..        123.664  120,77 K
D:\XP\SYSTEM32\msjter35.dll  Thu 10 Jun 1999  10.34.04  A.S..        24.848    24,27 K
D:\XP\SYSTEM32\msltus35.dll  Thu  9 Sep 1999  23.06.38  A.S..        168.720  164,77 K
D:\XP\SYSTEM32\mspdox35.dll  Mon  7 Jun 1999  19.59.34  A.S..        250.128  244,27 K
D:\XP\SYSTEM32\msrd2x35.dll  Sun 25 Apr 1999  18.00.00  A.S..        252.176  246,27 K
D:\XP\SYSTEM32\msrepl35.dll  Wed 25 Aug 1999  15.57.26  A.S..        415.504  405,77 K
D:\XP\SYSTEM32\mstext35.dll  Thu 30 Sep 1999  20.21.24  A.S..        166.672  162,77 K
D:\XP\SYSTEM32\msxbse35.dll  Sun 25 Apr 1999  18.00.00  A.S..        287.504  280,77 K
D:\XP\SYSTEM32\vbar332.dll    Sun 25 Apr 1999  18.00.00  A.S..        368.912  360,27 K
________________________________________________

1.483 items found:  1.483 files (11 H/S), 0 directories.
Total of file sizes:  329.444.928 bytes    314,18 M

Administrator Account =  True

--------------------End log---------------------

og hvis jeg kun kører den i repair biblioteket :

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

D:\XP\REPAIR\fontac.dll    Sat 16 Apr 2005  8.31.26  ...H.        419.348  409,52 K
________________________________________________

1 item found:  1 file (1 H/S), 0 directories.
Total of file sizes:  419.348 bytes    409,52 K

Administrator Account =  True

--------------------End log---------------------
Avatar billede kalp Novice
18. april 2005 - 13:14 #8
prøv at slette den med killbox istedet.. fandt du den i registry og slettet den der?

www.downloads.subratam.org/KillBox.exe

og efterfølgende en ny log fra hijackthis
Avatar billede nikolajdu Nybegynder
18. april 2005 - 18:36 #9
Kunne heller ikke slette dem med killbox. Så jeg har sat en ny master i og geninstalleret windows - Smidt den anden i harddiskskuffen og slettet det crap ;-)
Avatar billede kalp Novice
18. april 2005 - 22:54 #10
hehe så filen er væk nu?:)
min næste script var egentlig at få den slettet i windows, men via. en bat fil de plejer at være rimelig effektive:)
Avatar billede nikolajdu Nybegynder
19. april 2005 - 05:46 #11
Ja så nu er filen ihvertilfald væk og jeg har nu 2 harddiske med hver deres næsten ens opsætning af maskinen så selvom det tog lidt tid så har jeg nu en endnu nemmere backup end ghost ;-9
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
31/0310:22 Makro der gemmer vedhæftet fil fra Msg og omdøber filen Af lokesa i Excel
30/0313:45 Kablet forbindelse mellem android telefon og windows 11 pc Af 1Dorte i Android
30/0312:04 Elementtype vises - og ikke billedet? Af hkprofil i Billedbehandling
29/0312:08 Problemer med replay af købte kursusvideoer Af annam i Browsere
28/0311:18 DENVER DVB-tMPEG-4 HD TUNER Af ole falsted i Fjernsyn & projektorer
White papers
Flere white papers »