Trojan Horse Downloader.Generic2.eaq og .small.55.bn

Rul proceduren herfra ->
http://www.eksperten.dk/artikler/954

Bla. en HiJackThis Log som du jo har prøvet før...

(Ikke nødvendigvis mig der følger op...)

... det vil også hjælpe hvis du lige følger op på/pænt lukker dine gamle/glemte spm.:
http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=christinam&spm_part=&spm_answer=&find=&engine=exp
http://expfaq.dk/?id=24#kan_ikke_give_point

min daværende kæreste hjalp mig med den log, så er ikke helt stærk i det. lukker spørgsmål?

... ikke forstået...

Er det denne tråd du mener eller hyr ?

jeg har fået fjernet den ene af virusserne, nu er der "kun" trojan horse.small.55.nb tilbage

Gentager ->

Rul proceduren herfra ->
http://www.eksperten.dk/artikler/954

Jeg ligger de to log filer ind efter jeg har gentaget proceduren igen..

Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 102070
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 8
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 8
Objects moved: 0
Objects ignored: 0
Scan speed: 217 Kb/s
Scan time: 04:06:02
-----------------------------------------------------------------------------




SUPERAntiSpyware Scan Log
Generated 07/29/2006 at 01:32 AM

Core Rules Database Version : 3034
Trace Rules Database Version: 1096

Memory threats detected  : 0
Registry threats detected : 0
File threats detected    : 20

Adware.Tracking Cookie
    C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@adsrevenue[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@adtech[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@partypoker[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@adrevolver[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@888[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@cassava[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@cgi-bin[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@warlog[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@www.888[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@ad[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@as-eu.falkag[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@mediaplex[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@partygaming.122.2o7[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@zedo[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@ad.yieldmanager[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@track.adform[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@mb[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@geo.precisionclick[1].txt

håber der er nogen der kan se hvad der er galt.. på forhånd tak

Også lige en HijackThis-log - tak ;-)

hvordan gør jeg det? mit avg sagde at jeg havde virus, nu scanner jeg igen, og nu siger den der ingen virusser er!? har ikke foretaget mig noget i mellem tiden.

Opret en ny mappe - fx på skrivebordet. Download HijackThis til denne mappe: http://www.spywarefri.dk/downloads1/hijackthis.exe

Dobbeltklik på hijackthis.exe filen, så kører programmet, klik på ”Do a system scan and save a logfile”. Kopier loggen herind.

Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner!

Logfile of HijackThis v1.99.1
Scan saved at 02:17:42, on 29-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programmer\ThinkPad\ConnectUtilities\AcSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmer\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programmer\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programmer\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Logitech\SetPoint\KEM.exe
C:\Programmer\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programmer\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programmer\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programmer\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [SuperMahJongSetup.exe] E:\DISK1~1\Ekstra\SUPERM~1.EXE /r
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Opdatér ThinkPad-programmer - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programmer\Lenovo\PkgMgr\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programmer\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programmer\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\NCS\Sync\NetSvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

var det sådan her?

Jeps ;-)

Noget du selv kender til - jeg kender den ikke?
O4 - HKCU\..\Run: [SuperMahJongSetup.exe] E:\DISK1~1\Ekstra\SUPERM~1.EXE /r

Hvis ikke så fix den med HijackThis (sæt en vinge ved denne linje, luk andre programmer undtagen HijackThis og tryk på Fix checked).

Genstart i fejlsikret tilstand – F8 i opstart. Find og slet:

E:\DISK1~1\Ekstra\SUPERM~1.EXE >>>> filen

Genstart normalt og loggen ser umiddelbart ren ud.

ja det er et spil der hedder mahjong.. skulle der være noget med det?

Jeg kender som sagt ikke spillet/filen. Du kan eventuelt scanne filen her: http://virusscan.jotti.org/

Hvis scanneren ikke viser noget galt, er filen sikkert ok.

Hvis AVG stadig ikke viser noget snavs, er det måske en god ide at slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør, så kig her: http://www.spywarefri.dk/virusscannere.htm#alle
Herefter genstarter du og slår systemgendannelse til igen.

Her er et link til sikker surfing: http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Da jeg deaktiverede systemgendannelsen fandt mit virus program en virus: trojan horse downloader.generic2... hvordan får jeg fjernet den??

Hvor fandt programmet virussen?

det gjorde den ved hjælp af avg antivirus programmet

ved at jeg sacnnede.

Men hvor fandt AVG virussen på computeren?

i en mappe der hedder noget med lokale indstillinger, temporary internetfiles content

Prøv at slette midlertidige Internetfiler, cookies og at rydde oversigten i Internetindstillinger. Lav derefter en diskoprydning.

Rens også tempmapper: www.spywareinfo.dk/download/cleantempxp2k.bat - kør filen.

Genstart.

hvordan kan jeg se dem, forlige nu tror jeg de er skjulte de mapper

så er det gjort, skal jeg kører antivirus programmet igen, hvor jeg deaktiver systemgendannelsen? og må jeg godt være på internettet samtidigt?

Du kan se skjulte filer og mapper sådan:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Prøv at køre en fuld scanning med AVG fra fejlsikret tilstand – uden net.

Genstart normalt.

Hvad nu? Fandt AVG noget - og hvis ja, hvor?

jeg har ikke fundet noget.. hvordan sætter jeg den til fejlsikret tilstand og tilbage igen?

Fejlsikret tilstand: http://www.spywareinfo.dk/index.htm#/htm/fejlsikret_winxp.htm

Normalt er F8 i opstart nok.

mit virus program fandt ingen virus, betyder det at virussen er fjernet, og kan jeg fjerne dem der ligger i quantine i mit virus program eller er det lige meget?

Hvis AVG ikke finder mere, er virussen sikkert blevet fjernet.

Filer fra karantæne kan normalt slettes, men kig lige her: http://www.spywareinfo.dk/index.htm#/manualer/avg.htm (punkt 32 og frem)

f

j