Trojaner slettes men kommer igjen.

[Evil-Duck]

Hei! jeg bruker spyware doctor og Spybot som anti spyware program. det er et litt nokså frustrendes problem her , Jeg søker gjenom PCen med disse programene å så finner spyware doctor en trojaner og spybot noe med samme navnet. det er greit det så jeg fjerner det men hver gang jeg reboter maskina å søker så finner de akkurat den samme trojaneren . Og det som er det merkeligeste er at denne maskinen er helt ny og at den gamle maskinen hadde akkurat samme feilen... Jeg har og prøvd å formatere hele dataen men de er der fortsatt

[aspic]

Om du har foretatt en vellykka formatering av harddisken så må det vel være borte. Har du flere harddisker, evt. en du putta inn fra den gamle pc'n inn i den nye? Da kan trojaneren ha kommet seg inn den veien. Eller en trojaner som sprer seg via det lokale nettverket (flere pc'r i huset som er kobla opp mot en switch) ? Mitt forslag er å boote pc'n i safemodus for så å kjøre spybot programmene. Deretter gjør du det samme på dei andre pc'ne i huset ditt om du har fler..

Endret 15. juli 2006 av aspic

[PerB]

... å så finner spyware doctor en trojaner og spybot noe med samme navnet. ...

6495479[/snapback]

Har du navnet på trojaneren? Slik at vi kan søke på nettet og finne ut hva den gjør, hvordan den sprer seg og hvordan den gjemmer seg.

 

Hva bruker du for å fjerne virus?

Endret 15. juli 2006 av PerB

[berxter]

Og mitt forslag er å laste ned HijackThis fra f eks www.merijn.org og lime inn en logg derfra i neste innlegg her; så ser vi hva det er du har og kan komme med spesifikke tiltak.

 

Bernt K

[Evil-Duck]

Logfile of HijackThis v1.99.1

Scan saved at 16:10:37, on 16.07.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programfiler\Spyware Doctor\sdhelp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Programfiler\QuickTime\qttask.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programfiler\Logitech\G-series Software\LGDCore.exe

C:\Programfiler\Logitech\G-series Software\LCDMon.exe

C:\Programfiler\DAEMON Tools\daemon.exe

C:\Programfiler\iTunes\iTunesHelper.exe

C:\Programfiler\Eset\nod32kui.exe

C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

C:\Programfiler\Logitech\G-series Software\Applets\LCDMedia.exe

C:\Programfiler\Logitech\G-series Software\Applets\LCDClock.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\iPod\bin\iPodService.exe

C:\Programfiler\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe

C:\Programfiler\MSN Messenger\MsnMsgr.Exe

C:\Programfiler\Steam\Steam.exe

C:\Programfiler\Messenger\msmsgs.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\iTunes\iTunes.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Jan-Ove Berge\Skrivebord\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programfiler\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programfiler\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE

O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programfiler\Logitech\G-series Software\LCDMon.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programfiler\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Programfiler\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [3COM] C:\Programfiler\3COM Technology Corporation\3COM Wireless USB Utility\Wlan.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [steam] "C:\Programfiler\Steam\Steam.exe" -silent

O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [EA Core] C:\Programfiler\Electronic Arts\EA Downloader\Core.exe -silent

O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programfiler\Fellesfiler\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137417613093

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programfiler\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programfiler\Spyware Doctor\sdhelp.exe

[Evil-Duck]

der var logg filen som jeg ikke finner noe galt i da

[berxter]

Og det gjør ikke jeg heller.. hmmm... Hva kaller Spybot og SD svineriet?

 

Bernt K

[PerB]

... å så finner spyware doctor en trojaner og spybot noe med samme navnet. ...

6495479[/snapback]

Har du navnet på trojaneren? Slik at vi kan søke på nettet og finne ut hva den gjør, hvordan den sprer seg og hvordan den gjemmer seg.

 

Hva bruker du for å fjerne virus?

6495716[/snapback]

Vi venter fortsatt på svaret ditt.

[EviLEddiE]

Den eneste spywaren jeg kommer på som har det samme mønsteret med at det gjenoppretter seg selv etter man har tilsynelatende slettet det, er Aurora. Jeg hadde et sant helvete med å slette denne, helt til jeg fant ut at man måtte starte i sikkermodus med kommandolinje for å kunne fjerne f**nskapet helt.

 

Kan det være dette? Se etter følgende filer: DrPMon.dll svcproc.exe Nail.exe poller.exe aurora.exe

[berxter]

Kan det være dette? Se etter følgende filer: DrPMon.dll svcproc.exe Nail.exe poller.exe aurora.exe

6497110[/snapback]

 

Alle disse skulle vi ha sett i HijackThisloggen, dessverre.

 

Bernt K

[Evil-Duck]

jeg bruker spyware doctor og dette er det jeg ikke får fjernet http://www.pctools.com/en/mrc/infections/id/Virtumonde/

[berxter]

Virtumondo? Jeg ser ingen tegn til den her..

Vel, du kan kjøre VundoFix; den er spesiallaget for den slags:

 

http://www.majorgeeks.com/download4954.html

 

Vennligst gi melding dersom den finner svineriet..

Forresten: Hvor sier SpyBot og SD at infeksjonen er? Ligger den i en system_restorefil?

 

Bernt K

Endret 15. juli 2006 av berxter

[Evil-Duck]

Nix fant ingenting men jeg fant en mappe som ser ut til å vere tom i programfilene som nekter å la seg fjerne som kaller seg Xerox.

 

Edit : Xerox skulle vist være der.

Endret 15. juli 2006 av evilduck91

[berxter]

Jeg gjentar siste spørsmålet mitt: Hvor sier Spybot og SD at svineriet ligger?

 

Bernt K

[Evil-Duck]

Jeg gjentar siste spørsmålet mitt: Hvor sier Spybot og SD at svineriet ligger?

 

Bernt K

6498174[/snapback]

 

I system 32 mappen... har ikke så veldig lyst å røre noe der

[berxter]

OK; gjør følgende:

last ned og kjør ccleaner (google) Fjern haka i advanced options for "only remove files older than 48 hours"

 

Last ned og kjør Ewido i sikker modus (f8 under oppstart)

 

Kjør en Panda Activescan (husk see report og save report)

 

Google er din venn

 

Legg ut loggene fra Ewido og Panda. Husk å kjøre ccleaner først, eller så får vi side opp og ned med cookies som er fikset.

 

Bernt K

[Evil-Duck]

OK; gjør følgende:

last ned og kjør ccleaner (google) Fjern haka i advanced options for "only remove files older than 48 hours"

 

Last ned og kjør Ewido i sikker modus (f8 under oppstart)

 

Kjør en Panda Activescan (husk see report og save report)

 

Google er din venn

 

Legg ut loggene fra Ewido og Panda. Husk å kjøre ccleaner først, eller så får vi side opp og ned med cookies som er fikset.

 

Bernt K

6498300[/snapback]

 

Skal gjøre dette i morgen. Nå tar jeg kveld

[Evil-Duck]

Incident Status Location

 

Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\Jan-Ove Berge\Cookies\jan-ove berge@tradedoubler[1].txt

 

det var Panda Activescan

 

Ewido fant ingenting

 

og poster NOD32 : såg der sto en del epost adresser der så fjerner den

Endret 17. juli 2006 av evilduck91

[Evil-Duck]

sukk... nå kommer poppup vinduer menst jeg spiller og

[berxter]

Ser ingen ting som tyder på en infeksjon av noe slag, så vi må kanskje lete etter andre årsaker. NOD-loggen viser heller ikke innslag av noe gruff.

Kan du fjerne Daemon og se etter om det hjelper? Det er ikke helt ukjent at deler av den kan skape konflikter.

 

Popupvinduene du får mens du spiller: Fra hvilket program kommer de? Hva sier de?

 

Bernt K