Søg
Avatar billede eirene Nybegynder
30. august 2005 - 21:29 Der er 13 kommentarer og
1 løsning

nu er der virus

en online scan på mcAfee har fundet følgende:
"W32/Sdbot.worm!ftp" i mappen: C:\WINDOWS\system32\o samt 4 "Proxy-Agent.c" filer i form af forskellige .vir filer i documents and settings mappen.
What do we do?
Avatar billede kalp Novice
30. august 2005 - 21:32 #1
Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.
Avatar billede eirene Nybegynder
30. august 2005 - 22:18 #2
jeg har hentet stinger, som tilsyneladende har fjernet ormen, jeg er pt igang med en ny scan. Jeg laver en hjt når den er færdig, men indtil videre har den ikke fundet noget.
Avatar billede eirene Nybegynder
30. august 2005 - 22:50 #3
den finder stadig de 4 .vir filer som er Proxy-Agent.c virus....McAfee har intet om den og heller ikke Trend.

Her er htj-loggen

Logfile of HijackThis v1.99.1
Scan saved at 22:49:14, on 30-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Keymaestro\Multimedia Keyboard\nhksrv.exe
C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
C:\Programmer\Network Associates\VirusScan\Mcshield.exe
C:\Programmer\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Keymaestro\Multimedia Keyboard\MMKeybd.exe
C:\Programmer\O2Micro\AudioDJ\o2cd.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE
C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\SpyWare programmer\SpywareGuard\sgmain.exe
C:\SpyWare programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Keymaestro\Multimedia Keyboard\TrayMon.exe
C:\Programmer\Keymaestro\Onscreen Display\OSD.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Susie\Ny Hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer-europe.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE Privacy Keeper - Last IE Window Detector - {1201333E-BAD9-481C-BCF5-6904498CF85B} - C:\SpyWare programmer\privacykeeper\IEPKbho.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\SpyWare programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Keymaestro\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [o2cd] C:\Programmer\O2Micro\AudioDJ\o2cd.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programmer\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programmer\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Startup: SpywareGuard.lnk = C:\SpyWare programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Image Zone Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.acer-europe.com
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1125419479234
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4566/mcfscan.cab
O23 - Service: AVG6 Service (AvgServ) - Unknown owner - C:\SPYWAR~1\avgserv.exe (file missing)
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programmer\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programmer\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programmer\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmer\Keymaestro\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Avatar billede kalp Novice
30. august 2005 - 23:12 #4
Hent Ewido
http://shop.element5.com/product.html?productid=531168

scan med Ewido i fejlsikret tilstand.. vælge en FULD scan.

Se hvad den finder.. se om det er nok ellers finder vi en løsning på dit problem.
Avatar billede eirene Nybegynder
31. august 2005 - 20:46 #5
her er rapporten:

---------------------------------------------------------
ewido security suite - Scan report
---------------------------------------------------------

+ Created on:            20:42:04, 31-08-2005
+ Report-Checksum:        58AD1BAC

+ Scan result:

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Cleaned with backup
    HKU\S-1-5-21-1749187087-1492628373-2383972039-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -> Spyware.WinFavorites : Cleaned with backup
    HKU\S-1-5-21-1749187087-1492628373-2383972039-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D7E3B41-23CE-469B-BE1B-A64B877923E1} -> Spyware.BlazeFind : Cleaned with backup
    HKU\S-1-5-21-1749187087-1492628373-2383972039-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30192F8D-0958-44E6-B54D-331FD39AC959} -> Spyware.CoolWebSearch : Cleaned with backup
    HKU\S-1-5-21-1749187087-1492628373-2383972039-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{386A771C-E96A-421F-8BA7-32F1B706892F} -> Spyware.ISTBar : Cleaned with backup
    HKU\S-1-5-21-1749187087-1492628373-2383972039-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} -> Spyware.GameSpyArcade : Cleaned with backup
    C:\WINDOWS\system32\fvp.dll -> TrojanDownloader.Agent.oc : Cleaned with backup
    C:\Documents and Settings\JesperHansen\Lokale indstillinger\Temp\~DP6.exe -> TrojanDropper.Delf.gi : Cleaned with backup
    C:\Documents and Settings\JesperHansen\Lokale indstillinger\Temp\~DPA.exe -> TrojanDropper.Delf.gi : Cleaned with backup
    C:\Documents and Settings\Susie\Hijackthis\backups\backup-20041116-215829-291.dll -> Dialer.Generic : Cleaned with backup
    C:\Documents and Settings\Susie\Ny Hijackthis\backups\backup-20050717-161409-352.dll -> Dialer.Generic : Cleaned with backup
    C:\temp\SearchRelevancy.exe -> Spyware.Relevance.a : Cleaned with backup
    C:\temp\WebRebates_Auto_InstallSilent_Euro.exe -> Spyware.WebRebates.g : Cleaned with backup
    C:\temp\WinCtlAdInstPack.exe -> Spyware.WinAD : Cleaned with backup


::Report End
Avatar billede kalp Novice
31. august 2005 - 22:54 #6
Den fjernede en del:) finder du stadig de 4 objekter fra tidligere?
Avatar billede eirene Nybegynder
01. september 2005 - 12:08 #7
ja...

List of Infected Files
File Name                                      Virus Name
C:\Documents and Settings\...\V294QSa02484.vir Proxy-Agent.c
C:\Documents and Settings\...\V294QSb02484.vir Proxy-Agent.c
C:\Documents and Settings\...\V1L8QTa00760.vir Proxy-Agent.c
C:\Documents and Settings\...\V1L8QTb00760.vir Proxy-Agent.c

Hvordan kan det være at den ewido fjernede en masse, som McAfee slet ikke fandt, men ikke fjernede lige de 4 som den fandt...?
Avatar billede kalp Novice
01. september 2005 - 12:17 #8
Sikker på de filer ikke ligger i karantæne? I ewido kan du efter den har scannet trykke på "Quarantine" og slette de filer der er der inde. Gør det.. og det samme i mcafee.. og grunden til at mcafee ikke nødvendigvis finder hvad ewido finder er fordi ewido er mere rettet imod trojan hvor mcafee er rettet imod virus.
Men men.. ret ofte kan mcafee også finde det meget af det samme.. du skal blot opdatere programmet og scanne med fuld opsætning slået til i fejlsikret tilstand.. så finder den mere end normalt.

prøv også at rydde lidt op på maskinen..

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

H-Klik på din startknap, klik på stifinder, Klik på + udfor Dokument and settings og find mapperne:
Documents and Settings\NAVN\Lokale indstillinger\Temp
Documents and Settings\NAVN\Lokale indstillinger\Temporary internet files

måske er det blot nogle temp filer der skal slettes hvis ikke det er filer som er i karantæne allerede.
Avatar billede eirene Nybegynder
01. september 2005 - 12:39 #9
kan jeg bare slette alt, der ligger i temp-mappen? direkte fra stifinder?
Avatar billede kalp Novice
01. september 2005 - 12:42 #10
yeps
Avatar billede eirene Nybegynder
01. september 2005 - 13:02 #11
ok, det er så gjort nu. Jeg har slettet det jeg kunne i temp-mappen og slettet dem ewido havde lagt i karantæne. Jeg prøver lige at scanne igen, så ser vi.
Avatar billede eirene Nybegynder
01. september 2005 - 13:46 #12
hurra, den finder ikke mere nu
tak for hjælpen
Avatar billede kalp Novice
01. september 2005 - 13:56 #13
Selv tak:) og så håber jeg det er i orden, at jeg ligger et svar:)
Avatar billede eirene Nybegynder
01. september 2005 - 13:59 #14
helt i orden
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
I går 12:23 Facebook Af hkv i Sociale medier
I går 11:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
I går 09:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
I går 09:42 udstyr til udespa Af Hightech i Andet programmering
White papers
Flere white papers »