/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Trojansk Hest?
Fra : timeglas
Vist : 681 gange
200 point
Dato : 15-08-06 13:57

Min AVG virus skanner melder at den har fanget en trojansk backdoor hest. Den hedder C:\WINNT\system32\kernel32.ime
Jeg har både kørt AVG i sikkermode og normal og den bliver ved med at poppe op med advarsel om denne trojanske hest. Nu har jeg så været på google og søgt på den og det sted jeg fandt, stod der beskrevet at det var en trojansk hest : www.greatis.com men efter at have downloaded TrojanHunter så finder den ikke noget. Er der nogen der ved noget om denne Kernel32.ime?

Mvh Timeglas

 
 
Kommentar
Fra : timeglas


Dato : 15-08-06 14:05

Fandt også lige dette på internettet, men tør ikke gøre det hvis det er fake:

kernel32.ime
Jun. 14, 2006

Worm, part of SDBot family.
kernel32.ime is a DLL.
kernel32.ime is dropped by remote.exe and injected into the system process, svchost.exe.

remote.exe, svchost.exe and wmi.vbe are part of kernel32.ime family.
wmi.vbe attacks PC with the user account to which the password is not set.

ftp server spreading this worm is ftpd.3322.org. See wmi.vbe.
ftpd.3322.org is resolved to 218.202.44.69 at 14 Jun 2006 09:30:00 PM +900 JST.

kernel32.ime attempts to connect to 218.202.44.69 (ftpd.3322.org) and download test.exe.
test.exe on the server is the same file as svchost.exe.
lol.exe (See wmi.vbe) on the server is the same file as remote.exe.

kernel32.ime attempts to connect to SunnyDoll.3322.org too. I don't know why.
Following host names appear in other versions of kernel32.ime:
b0tz.3322.org

File
file path: %windir%\system32\kernel32.ime
file size: 16,127
md5: fd9b45930e32880c70fa7bab62761d92

Removal
1. Remove the service "Remote Procedure Call (RPC) Remote" (RpcRemote).
NOTE: Not "Remote Procedure Call (RPC)" (RpcSs), not "Remote Procedure Call (RPC) Locator" (RpcLocator).
2. Remove the file %windir%\system32\remote.exe.
3. Restart the computer.
4. Remove following files:
%windir%\system32\kernel32.ime
%windir%\system32\wins\svchost.exe
%windir%\system32\wins\wmi.vbe


Kommentar
Fra : Coliniiii


Dato : 15-08-06 15:05

Besøg www.arlet.dk han kan hjælp...

Accepteret svar
Fra : Mokof

Modtaget 200 point
Dato : 15-08-06 15:05

Download Hijackthis, åben den og tryk på "do a system scan and save a logfile" så kopierer du den og går ind på Eksperten.dk og opretter dig som bruger (hvis du ikke allerede er det), trykker på opret spørgsmål. Kategorien er "sikkerhed : virus" overskrift "logfil". Spørg om der er en der vil kigge på din log, kopier logfilen på og send. så varer det ikke længe før der er en der kigger på den og guider dig igennem en "rengøring" af din pc

Kommentar
Fra : Mokof


Dato : 15-08-06 15:07
Kommentar
Fra : bentjuul


Dato : 15-08-06 16:00

Timeglas du kan bare lægge en logfil her da stl_s fra spywarefri ofte er her på kandu og hjælper folk.

Du kan downloade HiJackThis på http://www.spywarefri.dk/vaerktoj.htm#hijackthis hvor der også er en forklaring på hvordan den bruges på dansk.

Skal det være her og nu du skal have fjernet skidtet kan du også lægge log-filen ind på www.spywarefri.dk/forum og det er ganske gratis at oprette dig som bruger og bruge spywarefri.

//bentjuul


Kommentar
Fra : miritdk


Dato : 15-08-06 17:10

nemlig bentjuul loggen kan både lægges her og hos spywarefri

((((( hvor er geniet der løser log henne ??? ))))



Kommentar
Fra : timeglas


Dato : 15-08-06 17:16

Jeg har lagt den ud på eksperten som tidligere anbefalet, og så ligger jeg den også lige her. Umiddelbart kan jeg bare ikke se nogle programmer der ser mistænkelige ud.

Logfile of HijackThis v1.99.1
Scan saved at 17:04:49, on 15-08-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programmer\Norton Utilities\NPROTECT.EXE
C:\Programmer\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\MSTask.exe
C:\Programmer\Speed Disk\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programmer\TrojanHunter 4.5\THGuard.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\TrojanHunter 4.5\TrojanHunter.exe
C:\Documents and Settings\none\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tdconline.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.5\THGuard.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Cyber-shot Viewer Media Check Tool.lnk = C:\Programmer\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmer\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusearch.html?p=CPXXXXXX59
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\programmer\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) -
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37940.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) -
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/10025/defaults/activex/ImageUploader3.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) -
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programmer\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmer\Norton Utilities\NPROTECT.EXE
O23 - Service: P1ug and P1ay (P1ugP1ay) - Unknown owner - C:\WINNT\system\services.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programmer\Speed Disk\nopdb.exe


og tak for de gode råd foreløbigt. Mvh timeglas


Godkendelse af svar
Fra : timeglas


Dato : 17-08-06 10:00

Tak for svaret Mokof.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408917
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste