Har jeg fått fjernet Trojaneren?(manuell fjerning)

[WikingTOR]

Nysgjerrig som jeg er trykket jeg på en link i Mirc som umiddelbart sendte meg til en side som åpnet opp winamp, med det resultatet at winamp fikk en masse rare tegn i statusviduet sitt. DOH!

Jeg var infisert av en trojaner eller orm og norton antivirus hadde ikke klart å oppdage dette (med siste virusdefinisjoner installert) ei heller siste versjon av ad-aware 6.

 

Heldigvis for meg så hadde jeg sygate personal firewall installert og jeg oppdaget at svchost.exe og rundll32.exe som lå i henholdsvis C:\WINDOWS\system32\secure og c:\windows\system32\rundll32\ mappene, ville ha tilgang til irc.gamesnet server (som for øvrig ikke eksisterer lengre!). Den store røde lampen i taket begynte å blinke samtidig som alle vinduer og dører ble hermetisk forseglet, og en dame-stemme (temmlig sexy som sådann) sa "Countdown to Self Destruction commenced, 5 minutes remains".

 

Ja mulig jeg husker litt feil, men jeg ga i hvert fall ikke de 2 programmene tilgang til internett. (Rundll og svchost skal kun ligge i C:\WINDOWS\system32 mappen ellers er det noe muffens på gang og den røde lampe bør begynne å lyse)

 

 

Jeg åpnet opp taskmanager og der oppdaget jeg at rundll og svchost kjørte på mitt navn og ikke systemet og min mistanke ble ytterligere bekreftet.

 

Det jeg nå har gjort er å manuelt slette de 2 aktuelle foldere og jeg har fjernet f**nskapen fra registeret. Det lå 2 henvisninger til de programmene under hkey_local_machine\Software\Microsoft\Windows\CurrentVersion\run

 

Nå virker det som jeg har fått fjernet svineriet fra systemet, men det som plager meg er at norton og ad-aware ikke oppdaget dette og hadde det ikke vært for sygate sin brannmur så ville jeg levd lykkelig uvitende om infeksjonen. Er det noe annet jeg kan gjøre eller forsøke av programmer for å teste ut om maskinen nå er helt ”ren”.

Endret 25. mai 2004 av WikingTOR

[josh909]

Du kan jo alltids kjøre en oppdatering på SpyBot og sjekke en gang til med den. En annen kjekk ting er jo å sjekke alle aktive TCP-tilkoblinger med jevne mellomrom - bruk Windows' egen netstat-kommando (i command line), eller bruk TCPView som er noe hendigere å bruke.

 

Lykke til.