/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Virus/Spyware hjælp..
Fra : BentSimonsen
Vist : 1123 gange
300 point
Dato : 11-11-06 15:24

Hjælp.....!!!
Har fået noget snavs som selv jeg, ikke kan fjerne..
Det drejer sig om denne fil "C:\3611010322528502390.exe" Som går under navnet.. Clicker.DJP
Og en "Services.exe" Jeg ved godt denne process skal køre, men har 2 i min jobliste..
En under SYSTEM, som vel er den originale windows fil.. Men også en under [BRUGERNAVN]
Kan ikke stoppe processen..

Her er en liste over, hvad jeg har prøvet..
Deaktiveret systemgendannelse..
Slette mine cookies og offline filer.. Ryde oversigten..
Køre HJT, fjerne snavset.. HJT fandt "C:\3611010322528502390.exe" men den bliver ved med at komme tilbage..
Scanne med AVG, Spybot, Ad-aware, Ewido, Superantispyware og Panda online scanner..
Starte op i fejlsikkeret tilstand.. Scanne med det hele igen, undtagen Panda..
Køre HJT i fejlsikkeret tilstand, men der vil den ikke finde "C:\3611010322528502390.exe"

Her er en HJT log..

Logfile of HijackThis v1.98.2
Scan saved at 14:56:23, on 11-11-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\ctfmon.exe
E:\ClipCache\clipc.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\System32\services.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bent\Skrivebord\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ClipCache] E:\ClipCache\clipc.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ClipCache] E:\ClipCache\clipc.exe /wait 3
O4 - HKCU\..\Run: [WinMedia] C:\3611010322528502390.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: &Clean Traces - C:\Programmer\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmer\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmer\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://129.57.20.46:1497/activex/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f010.mail.jubii.dk/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB7740C7-4597-4845-86AE-343F2A94E97E}: NameServer = 194.239.134.83,193.162.153.164
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

Her er lidt om hvad, superantispyware siger om filerne på nettet..
http://img179.imageshack.us/my.php?image=c36gc2.jpg
http://img294.imageshack.us/my.php?image=serviceste0.jpg

Her er et screenshot, af min jobliste..
http://img295.imageshack.us/my.php?image=tasklt6.jpg


 
 
Kommentar
Fra : stl_s


Dato : 11-11-06 15:45

Jeg kigger på det, og vender tilbage.

Kommentar
Fra : stl_s


Dato : 11-11-06 15:46

Jeg kigger på det, og vender tilbage.

Kommentar
Fra : miritdk


Dato : 11-11-06 15:59

stl_s går igen - igen

Kommentar
Fra : stl_s


Dato : 11-11-06 16:07

Hent haxfix, og gem den på skrivebordet:
http://users.telenet.be/marcvn/tools/haxfix.exe

Dobbeltklik på haxfix.exe og installér haxfix (standard installations-stien er c:\programmer\haxfix eller c:\program files\haxfix). Når installationen er færdig, skal du sikre dig, at der er flueben i "Launch HaxFix". Klik på "Finish"

Et rødt dos-vindue vil åbne, med følgende muligheder:
1. Make logfile
2. Run auto fix
3. Run manual fix
E. Exit Haxfix

Vælg punkt 1, og tryk Enter. Haxfix vil nu scanne computeren. Når den er færdig, vil logfilen åbne. Kopiér indholdet af denne fil herind i tråden (c:\haxfix.txt)

Kommentar
Fra : BentSimonsen


Dato : 11-11-06 16:13

HAXFIX logfile - by Marckie

version 4.29
11-11-2006 16:01:38.32

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---


checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for other Goldun-files
no other Goldun-files found


Finished!
Ser ikke ud som om den, har fundet noget..

Kommentar
Fra : stl_s


Dato : 11-11-06 16:30

Nej, den fandt ikke noget, men det er ingen garanti for at der ikke er noget. Lige et tjek til, inden vi fjerner den fil:

Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer112beta.zip

Højrklik på gmer.exe og vælg omdøb. Kald den f,eks findskidt

Kør programmet, klik på fanebladet "Rootkit" (kommer nok op som det første), og klik på "Scan". Når scanningen er færdig, skal du klikke på "Copy". Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Kommentar
Fra : Merrild89


Dato : 11-11-06 16:30

har du prøvet i fejlsikret tilstand UDEN NET, og så stoppe prosessen, gå ind og slette filerne, derefter start windows normalt?

plejer jeg at gøre hvis der er gået lidt kuk i mine virus programmer, eller hvis processen ikke vil lukkes ned :D

held og lykke

Kommentar
Fra : BentSimonsen


Dato : 11-11-06 16:43

stl_s --> Scanner nu.. Vender lige tilbage med en log, om lidt..

Merrild89 --> plejer altid at starte fejlsikkeret tilstand, uden net..
Processen er ikke i job listen, i fejlsikkeret tildstand.. Og filen findes ikke..
Den eneste måde jeg kan slette filen på, er først lave en HJT scan.. Der efter kopirer stien til Dr. Delete.. Hvorefter den vil slette ved, næste genstart.. Men den kommer stadig tilbage..

Kommentar
Fra : Merrild89


Dato : 11-11-06 16:46

doh.... hmm ved du hvor filen ligger? er det en fil? har du prøvet spywarefri.dk


Kommentar
Fra : BentSimonsen


Dato : 11-11-06 16:59

GMER 1.0.12.11889 - http://www.gmer.net
Rootkit scan 2006-11-11 16:48:26
Windows 5.1.2600


---- System - GMER 1.0.12 ----

SSDT \??\C:\Programmer\ewido\security suite\guard.sys ZwOpenProcess
SSDT \??\C:\Programmer\ewido\security suite\guard.sys ZwTerminateProcess

---- Kernel code sections - GMER 1.0.12 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 2F4 804FC80C 4 Bytes
.text ntoskrnl.exe!KeI386Call16BitCStyleFunction + 510 804FCA28 4 Bytes

---- Devices - GMER 1.0.12 ----

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F8A9C85A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8A9C85A] avgtdi.sys
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CREATE E183DC30
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_CLOSE E183DC30
Device \Driver\prodrv06 \Device\ProDrv06 IRP_MJ_DEVICE_CONTROL E183DC30
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CREATE E13DC670
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_CLOSE E13DC670
Device \Driver\prohlp02 \Device\ProHlp02 IRP_MJ_DEVICE_CONTROL E13DC670
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8A9C85A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F8A9C85A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F8A9C85A] avgtdi.sys
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CREATE B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLOSE B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_READ B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_INFORMATION B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SET_INFORMATION B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_QUERY_VOLUME_INFORMATION B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DIRECTORY_CONTROL B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_FILE_SYSTEM_CONTROL B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_DEVICE_CONTROL B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_SHUTDOWN B9D46866
Device \FileSystem\Cdfs \Cdfs IRP_MJ_LOCK_CONTROL B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_CLEANUP B9D3D39A
Device \FileSystem\Cdfs \Cdfs IRP_MJ_PNP B9D3D39A
Device \FileSystem\Cdfs \Cdfs FastIoCheckIfPossible B9D467FC

---- Files - GMER 1.0.12 ----

ADS C:\Documents and Settings\Bent\Skrivebord\Programmer\SOUNDMAN.EXE:SummaryInformation
ADS C:\Documents and Settings\Bent\Skrivebord\Programmer\SOUNDMAN.EXE:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\WINDOWS\SOUNDMAN.EXE:SummaryInformation
ADS C:\WINDOWS\SOUNDMAN.EXE:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS C:\WINDOWS\system32\SOUNDMAN.EXE:SummaryInformation
ADS C:\WINDOWS\system32\SOUNDMAN.EXE:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
ADS D:\System Volume Information\_restore{972768D7-6833-4A46-A77E-CF49C030B22B}\RP5\A0011348.INI:SummaryInformation
ADS D:\System Volume Information\_restore{972768D7-6833-4A46-A77E-CF49C030B22B}\RP5\A0011348.INI:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}

---- EOF - GMER 1.0.12 ----


Kommentar
Fra : Merrild89


Dato : 11-11-06 17:03

skal lige bruge navnene på de filer du skal have fjernet, så tjekker jeg lige hvad det er for noget..

er det kun denne?? : C:\3611010322528502390.exe

Kommentar
Fra : BentSimonsen


Dato : 11-11-06 17:05

Merrild89 --> Den ligger i C:\ Altså den der C:\3611010322528502390.exe
Aner ikk hvor "services.exe" ligger.. Ifølge andre tråde på nettet.. Burde den ligge i WINDOWS mappen.. Men kan ikke finde den..

Kommentar
Fra : BentSimonsen


Dato : 11-11-06 17:06

Ja C:\3611010322528502390.exe & Services.exe

Kommentar
Fra : Merrild89


Dato : 11-11-06 17:16

har du prøvet at søge på den? og så simpelthen slette den manuelt? og den anden der kan du ihvertfald få support på spywarefri.dk

Kommentar
Fra : refi


Dato : 11-11-06 17:33

Ingen grund til at gå på spywarefri...

stl_s er jo HER

Kommentar
Fra : miritdk


Dato : 11-11-06 17:35

refi - jeg sad lige og var ved at skrive det samme (knap så venligt)

Kommentar
Fra : Merrild89


Dato : 11-11-06 17:36

her er et link til en online scanner, der er bare et minus, du skal skrive en email ind, men nede i bunden af vinduet der kan man afkrydse et felt så man ikke vil modtage nogen mails fra dem.....
når scanningen er færdig kan du se hvor alle viraer og spyware ligger, og slette dem manuelt... jeg gjorde det lige igår og det hjalp godt!!!

http://www.pandasoftware.com/activescan/activescan/ascan_2.asp <------ linket til online scanning

Forslag til spyware renser : spyware blaster (freeware) spy sweeper (license)

ellers er der jo kun at sige, at bullguard har en rigtig god firewall!! så hvis du formaterer engang så køb bullguard, det billigt, godt, og så er det også på dansk :D

Kommentar
Fra : miritdk


Dato : 11-11-06 17:39

ved du hvad merrild89 - hvis du har nogen referencer at henvise til med erfaring og viden omkring sikkerhed synes jeg du skulle lægge dem frem og ikke forsøge at ødelægge noget for spørger der netop kan få hjælpen af stl_s

Kommentar
Fra : stl_s


Dato : 11-11-06 17:39

SOUNDMAN.EXE hører normalt til Avance AC97 lydkortet, men det undrer mig at du har den tre steder.

C:\Documents and Settings\Bent\Skrivebord\Programmer\SOUNDMAN.EXE
C:\WINDOWS\system32\SOUNDMAN.EXE
C:\WINDOWS\SOUNDMAN.EXE

Kan du bekræfte at filerne er legitime ? Hvis du er i tvivl, så højreklik på dem, og vælg "egenskaber".

----------------------------------------

Jeg må desværre lige trække dig igennem endnu en scanning:

Hent Gmer's Catchme herfra, og gem den på dit skrivebord:
http://www.gmer.net/catchme.exe

Dobbeltklik på filen. Så åbnes en sort skærm, hvor du bliver informeret om scanningens resultater. Til sidst meddeles at "scan completed successfully", og hvad den har fundet. Så skal du trykke på Enter-tasten for at lukke vinduet ned. Du vil nu have logfil fra scanningen i samme mappe (eller på skrivebordet) som catchme.exe (catchme.log). Læg indholdet af denne fil herind.



Kommentar
Fra : BentSimonsen


Dato : 11-11-06 17:47

Ejj.. Nu føler jeg mig som en komplet idiot..
Kunne ikke finde C:\3611010322528502390.exe pga. jeg havde glemt at slå fluebenet fra..
I skjul beskyttede operativsystemfiler..
Genstartede computeren i fejlsikkeret tildstand..
Slettede filen, tømte mine cookies igen og slettede filer & offline filer..
Slettede indholdet i C:\windows\prefetch alt undtagen Layout.ini
Åbnede, regedit og slettede den fra opstartslisten..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Genstartede computeren.. Og væk var skidtet..

Nu havde jeg kæmpede med det, i 2 dage.. Og så var det så simpelt..
Nå men, væk er det.. Så anden smager sikkert lidt bedre i aften..

Kommentar
Fra : BentSimonsen


Dato : 11-11-06 17:50

stl_s --> Hehe.. Ang. Soundman så var det et program, jeg var meget glad for.. Indtil det ikke gad at virke mer'.. Så prøvede at ligge den i system32 mappen og windows mappen, for at se om det løste problemet..

Kommentar
Fra : stl_s


Dato : 11-11-06 18:07

Ja, sådan kan det nogle gange være .

Iøvrigt, så vil jeg vil jeg foreslå dig at få opdateret dit Windows. Du har ikke servicepacks til hverken XP eller IE, så din maskine er helt åben og sårbar overfor infektioner. Dit antivirus vil langtfra altid kunne redde dig.

Du kan hente servicepack opdateringerne manuelt her hvis du vil http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/

Hvis du "af en eller anden grund" ikke kan installere dem, vil jeg da foreslå dig at købe et Windows XP i OEM version. De koster en 6-800kr, men det vil formentlig spare dig for ærgelser mht infektioner, og maskinen vil sikkert også køre bedre.

Kommentar
Fra : miritdk


Dato : 11-11-06 18:09



Kommentar
Fra : sacha


Dato : 11-11-06 18:13



Accepteret svar
Fra : stl_s

Modtaget 300 point
Dato : 11-11-06 18:34

Jeg vil iøvrigt foreslå dig at scanne maskinen igennem med den scanner, i tilfælde af at der skulle gemme sig noget:

Hent denne scanner ned til skrivebordet ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Vent med at køre den.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Vejledning her http://fromsej.dk/Vejledninger/html/drweb.html






Kommentar
Fra : BentSimonsen


Dato : 14-11-06 01:57

I må undskylde jeg ikke, lige har været på fornylig.. (Dumme TDC)

Men her er min Dr. Web log..

Process.exe;C:\Documents and Settings\Bent\Skrivebord\smitRem;Tool.Prockill;;
Process.exe;D:\Documents and Settings\bent\Skrivebord\smitRem;Tool.Prockill;;
j4_f.wav;E:\Spil\GTA3\audio;Modification of V2Px.1190;Moved.;
MD-Trainer.exe;E:\Spil\ruffer\The Maid`s Story;Tool.GameCrack;;


Kommentar
Fra : stl_s


Dato : 14-11-06 02:01

Det ser godt ud. Der er ikke mere skidt .

Godkendelse af svar
Fra : BentSimonsen


Dato : 19-11-06 10:14

Tak for svaret stl_s.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177580
Tips : 31968
Nyheder : 719565
Indlæg : 6409079
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste