kroghelg Skrevet 2. februar 2004 Forfatter Rapporter Del Skrevet 2. februar 2004 heisan, vil bare si at nå ser alt ut til å virke som normalt...ingen virus og ingen spyware!!! Fikk kjørt "repair win xp", da virket både windows update og nettbanken. Vil med dette bare takke dere alle for hjelpen jeg har fått! Lenke til kommentar
sull Skrevet 3. februar 2004 Rapporter Del Skrevet 3. februar 2004 Eg har også det samme problemet og har kjørt HijackThis: logen ble slik: Logfile of HijackThis v1.97.7 Scan saved at 6:29:29 PM, on 2/3/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\QuickTime\qttask.exe C:\Programfiler\Fellesfiler\Real\Update_OB\evntsvc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programfiler\MSN Messenger\msnmsgr.exe C:\spill\steam\steam.exe C:\Programfiler\Skype\Phone\Skype.exe C:\Programfiler\Winamp\winamp.exe C:\Programfiler\Kazaa Lite\kazaalite.kpp C:\Programfiler\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\el\Skrivebord\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programfiler\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programfiler\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programfiler\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [GeForceAASet] C:\Programmer\geforceaaset\Geforceasett\geforceaaset\GeForceAASet.exe O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\msg plus\MsgPlus.exe" O4 - HKLM\..\Run: [sBHC] C:\Programfiler\SuperBar\sbhc.exe O4 - HKLM\..\Run: [bHOYEL] C:\WINDOWS\BHOYEL.exe O4 - HKLM\..\Run: [QNTKXB] C:\WINDOWS\QNTKXB.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programfiler\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [iST Service] D:\Programfiler\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programfiler\Winamp3\winampa.exe" O4 - HKLM\..\Run: [KAZAA] C:\Programfiler\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinServices] winexec32.bpq O4 - HKLM\..\Run: [Configuration Loaded] nost_lm.exe O4 - HKLM\..\Run: [netconfig] msc0nfig.jpe O4 - HKLM\..\Run: [TkBellExe] C:\Programfiler\Fellesfiler\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\RunServices: [systemSAS] system32.exe O4 - HKLM\..\RunServices: [Configuration Loaded] nost_lm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus2] "D:\Programfiler\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Programfiler\MSN Messenger\msnmsgr.exe" O4 - HKCU\..\Run: [steam] "c:\spill\steam\steam.exe" -silent O4 - HKCU\..\Run: [skype] "C:\Programfiler\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: OpenMG Jukebox Startup.lnk = C:\Programfiler\Sony\OpenMG Jukebox\Omgtray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {0DCABC94-5086-4E08-A4C9-BF284A614E81} (WwwPlugin Class) - http://www.estoeslaselva.com/dist/2/WwwPlugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/funwebpr...etup1.0.0.5.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} (cuadruple Class) - http://www.dialerzona.com/cuadruple.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab Tror dere jeg kan slette alle disse filene for å fixe problemet eller? Ikke svar hvis du ikke aner Lenke til kommentar
Timur Skrevet 3. februar 2004 Rapporter Del Skrevet 3. februar 2004 Ta og lag et systemgjennopprettingspunkt da vel og prøv! p.s! O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab IKKE ET GODT TEGN! Lenke til kommentar
Syar-2003 Skrevet 3. februar 2004 Rapporter Del Skrevet 3. februar 2004 Syns ikke disse ser bra ut: O4 - HKLM\..\Run: [bHOYEL] C:\WINDOWS\BHOYEL.exe Ingen treff på internett , sikkert ikke noe bra. O4 - HKLM\..\Run: [QNTKXB] C:\WINDOWS\QNTKXB.exe Ingen treff på internett , sikkert ikke noe bra. O4 - HKLM\..\Run: [iST Service] D:\Programfiler\ISTsvc\istsvc.exe http://sarc.com/avcenter/venc/data/adware.istbar.html Porno trojaner. O4 - HKLM\..\Run: [KAZAA] C:\Programfiler\Kazaa\kazaa.exe /SYSTRAY Trenger ikke nærmere info om denne. O4 - HKLM\..\Run: [WinServices] winexec32.bpq Ingen treff på internett , sikkert ikke noe bra. O4 - HKLM\..\Run: [netconfig] msc0nfig.jpe ??? mistenklig Fjerne tingene med hijackthis kan alltids reverseres igjen . Kjør cwshredder spybot -Search and Destroy og adaware (en fikser ikke alltid alt) http://www.spywareinfo.com/downloads.php?cat=sp#det Og hold deg unna kazaa , det er den værste virus sprederen idag. Lenke til kommentar
DllInjexion Skrevet 4. februar 2004 Rapporter Del Skrevet 4. februar 2004 winexec32.bpq msc0nfig.jpe den første er bare en backup prosess av msc0nfig.jpe. Dersom AVen din prøvde å terminere prosessen til trojanen. vil backupen bare lage en ny. så det ikke vil være så lett åfjerne den. Tojan mosucker 3.0b rlzn tror jg d r. du kan fjerne den med av. den bruker ingen injections så den er gammeldags og lett åfjerne. Lenke til kommentar
Skallbaink Skrevet 5. februar 2004 Rapporter Del Skrevet 5. februar 2004 W32.MyDoom.B W32.Mydoom.B er en internett orm, som sprer seg ved å søke igjennom filer på det infiserte systemet, deretter sender den seg selv, igjennom sin egen STMP server, til alle email adresser som den fant på systemet. Ormen inneholder som W32.MyDoom.a, en bakdør som fungerer som en proxy server, det er også mulig å bruke denne bakdøren til å laste ned og eksekvere filer på det infiserte systemet. Følgende kan skje ved infisering av denne orm: Kraftig utsendelse av email fra det infiserte system Ormen åpner en bakdør på systemet. Ormen vil forsøke å lage et DoS (Denial of Service) angrep. Rettelser i hosts filen som sørger for at en rekke sider ikke kan vises. Spredning av ormen via KaZaa fildelingsprogrammet. Ormen oppretter følgende filer på det infiserte systemet: %Temp%\Message %SystemDir%\ctfmon.dll %SystemDir%\explorer.exe Ormen skriver inn følgende i registreringsdatabasen: verdi: "(Default)" = %System%\ctfmon.dll Nøkkel: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Beskrivelse: Dette starter den ovenstående DLL, som inneholder bakdøren, sammen med explorer.exe. verdi: "Explorer" = %System%\Explorer.exe Nøkkel: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run og: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Beskrivelse: Dette får ormen til å starte sammen med windows. Teknisk Beskrivelse: En mail fra ormen kan se slik ut: Avsender: en forfalsket email adresse. Emne, en av følgende: Returned mail, Delivery Error, Status, Server Report, Mail Transaction Failed, Mail Delivery System, hello eller hi Beskjed, en av følgende: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The message contains Unicode characters and has been sent as a binary attachment. Error #804 occured during SMTP session. Partial message has been received. sendmail daemon reported: Mail transaction failed. Partial message is available. The message contains MIME-encoded graphics and has been sent as a binary attachment. Vedlagt: Den vedlagte fil ender på en av følgende: pif, scr, exe, cmd, bat, zip Når den W32.Mydoom.B blir eksekvert skjer følgende: Den lager følgende filer: %Temp%\Message %SystemDir%\ctfmon.dll - inneholder selve bakdøren %SystemDir%\explorer.exe - selve ormen. W32.MyDoom.B lager følgende endringer i registreringsdatabasen: verdi: "(Default)" = %System%\ctfmon.dll Nøkkel: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 Beskrivelse: Dette starter den ovenstående DLL, som inneholder bakdøren. verdi: "Explorer" = %System%\Explorer.exe Nøkkel: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run og: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Beskrivelse: Dette får ormen til å starte sammen med windows. ctfmon.dll er selve bakdøren, den blir startet opp av explorer.exe når Pc'en startes, den lytter på en av følgende porter: 80,1080, 3128, 8080, 10080. Det er gjennom denne bakdøren mulig for en ondsinnet person å laste ned og eksekvere filer på det infiserte systemet, samtidig fungerer den som en proxy server. Ormen finner email-adresser ved å søke følgende filer igjennom: wab, adb, tbb, dbx, asp, php, sht, htm, txt og pl på det infiserte systemet, ormen vil videresende seg selv til alle adresser den finner, gjennem dens egen SMTP server, samtidigt inneholder den en stor liste over alminnlig navn som den også vil forsøke å sende til på det domenet som den finner. W32.MyDoom.B vil også forsøke å spre seg via KaZaa ved å kopiere seg selv ned i den delte KaZaa mappe med følgende filnavne: xsharez_scanner, BlackIce_Firewall_Enterpriseactivation_crack, zapSetup_95_693, MS59-56_hotfix, winamp0, NessusScan_pro, attackXP-6.71 Ormen vil starte et DoS (Denial of Service) angrep mot www.sco.com og www.microsoft.com. Ormen endrer hosts filen på det infiserte systemet, så det blir umulig å besøke følgende sider: ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.microsoft.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com Dette kan gjøre det mye værre å få fjernet viruset fra et infisert system. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå