kig Skrevet 15. juli 2008 Del Skrevet 15. juli 2008 Norman har isolert føløgenede filer i kveld: Total 2 filer i karantenen. Filnavn Diagnose Dato unins000.exe W32/Agent.GKGN A0067318.exe W32/Agent.GKGN Skal jeg nå be programmet slette de. Er jeg da ferdig med saken, eller må det gjøres mer? Lenke til kommentar
norbat Skrevet 15. juli 2008 Del Skrevet 15. juli 2008 Hvor fant Norman disse filene? Lenke til kommentar
kig Skrevet 15. juli 2008 Forfatter Del Skrevet 15. juli 2008 Hvor fant Norman disse filene? Følgende melding stod å lese Plassering: c:\Programfiler\Perfect\Uninstaller\unins000.exe Lenke til kommentar
norbat Skrevet 15. juli 2008 Del Skrevet 15. juli 2008 Hvis Perfect Uninstaller er et program du kjenner til, så er nok dette en falsk positiv fra Norman. Lenke til kommentar
kig Skrevet 15. juli 2008 Forfatter Del Skrevet 15. juli 2008 Hvis Perfect Uninstaller er et program du kjenner til, så er nok dette en falsk positiv fra Norman. Det er altså også mulig, - å få en falsk varsel. Kan ikke si at jeg kjenner dette programmet særlig godt. Det ble vel installert forbindelse med fjerning av rester av et virusprogram. Etter råd fra noen. Lenke til kommentar
norbat Skrevet 15. juli 2008 Del Skrevet 15. juli 2008 Du kunne ha sjekket filene på http://virusscan.jotti.org/. Hvis det bare er Norman som mener at de er trojanere (evt. ett program til), så kan du egentlig bare la dem være i fred. Lenke til kommentar
_troffen_ Skrevet 16. juli 2008 Del Skrevet 16. juli 2008 Jeg har fått beskjed om at jeg har samme trojaneren som deg i "unins000.exe", men hos meg har den lagt seg i en annen programmappe! Her om dagen krasjet plutselig laptopen, og siden ble den treg og fikk flere blue-screens (noe jeg ikke har fått siden jeg byttet ut XP med Vista...) Har ikke funnet noe spesifikt om denne ormen, men funnet mange artikler om liknende navn (W32.Agent.***) Det ser ut som den prøver å kamuflere seg som en vanlig fil på forskjellige steder, og legger seg til i oppstarten til windows. Har kjørt fullt søk to ganger, og den fant en ny fil begge gangene. PC'n står hjemme og søker igjen nå, finner den enda mer vurderer jeg formatering som jeg hadde planer om i forrige uke uansett for å fjerne mye gammelt drit! Lenke til kommentar
snippsat Skrevet 16. juli 2008 Del Skrevet 16. juli 2008 (endret) liknende navn (W32.Agent.***) _troffen_ vi har verktøy som kan fjerne dette. fikk flere blue-screens Bluescreen det kan være mye rart. Det er mulig og finne hva som gir bluescreen. Last Combofix ned ,legg på skrivebordet. Ikke klikk på vindu mens programet kjører. post logg C:\combofix.txt Endret 16. juli 2008 av SNIPPSAT Lenke til kommentar
_troffen_ Skrevet 16. juli 2008 Del Skrevet 16. juli 2008 Ok, skal prøve det i kveld! Takk skal du ha! Lenke til kommentar
kig Skrevet 18. juli 2008 Forfatter Del Skrevet 18. juli 2008 (endret) Her er min SAS logg per i dag. Noen som vil analysere.. Klikk for å se/fjerne innholdet nedenfor <SUPERAntiSpyware Scan Loghttp://www.superantispyware.com Generated 07/18/2008 at 09:35 AM Application Version : 4.15.1000 Core Rules Database Version : 3506 Trace Rules Database Version: 1497 Scan type : Quick Scan Total Scan Time : 00:04:04 Memory items scanned : 367 Memory threats detected : 0 Registry items scanned : 347 Registry threats detected : 1 File items scanned : 4692 File threats detected : 25 Adware.Tracking Cookie C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@adtech[2].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@apmebf[1].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterå[email protected][1].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@advertising[3].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@mediaplex[1].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@overture[2].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterålskraft_nett@doubleclick[2].txt C:\Documents and Settings\Vesterålskraft Nett\Cookies\vesterå[email protected][2].txt Registry Cleaner Trial HKU\S-1-5-21-1390067357-1972579041-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run#Registry Cleaner [ "C:\Programfiler\Registry Cleaner Trial\Regclean.exe" -startminimize ] C:\Programfiler\Registry Cleaner Trial\EmailAddressCapture.hta C:\Programfiler\Registry Cleaner Trial\EULA_REGCLEAN.rtf C:\Programfiler\Registry Cleaner Trial\NoSpam.jpg C:\Programfiler\Registry Cleaner Trial\RCBanner.jpg C:\Programfiler\Registry Cleaner Trial\RCUninstall.exe C:\Programfiler\Registry Cleaner Trial\regclean.dll C:\Programfiler\Registry Cleaner Trial\Regclean.exe C:\Programfiler\Registry Cleaner Trial\Registry Cleaner.chm C:\Programfiler\Registry Cleaner Trial\soref.dll C:\Programfiler\Registry Cleaner Trial\unins000.dat C:\Programfiler\Registry Cleaner Trial\unins000.exe C:\Programfiler\Registry Cleaner Trial\uninstall.hta C:\Programfiler\Registry Cleaner Trial C:\Documents and Settings\Vesterålskraft Nett\Programdata\Registry Cleaner\Backups\2006-11-28,12-20 21 109.zip C:\Documents and Settings\Vesterålskraft Nett\Programdata\Registry Cleaner\Backups C:\Documents and Settings\Vesterålskraft Nett\Programdata\Registry Cleaner\Regclean.ini C:\Documents and Settings\Vesterålskraft Nett\Programdata\Registry Cleaner > Og her er Hijack log Klikk for å se/fjerne innholdet nedenfor <Logfile of Trend Micro HijackThis v2.0.2Scan saved at 10:31:57, on 18.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programfiler\Norman\Npm\Bin\Elogsvc.exe C:\Programfiler\Norman\Ngs\bin\NPROSEC.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Norman\Npm\Bin\Zanda.exe C:\Programfiler\Norman\npm\bin\nvoy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Norman\npf\bin\npfsvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\WDBtnMgr.exe C:\Programfiler\Windows Defender\MSASCui.exe C:\Programfiler\Norman\Npm\Bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Messenger\msmsgs.exe C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Norman\Npm\bin\NVCSCHED.EXE C:\Programfiler\Norman\Npm\bin\NJEEVES.EXE C:\Programfiler\Norman\npc\bin\npcsvc32.exe C:\Programfiler\Norman\nse\bin\NSESVC.EXE C:\WINDOWS\System32\alg.exe C:\Programfiler\Norman\npc\bin\nuaa.exe C:\Programfiler\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Norman\Nvc\Bin\Nip.exe C:\Programfiler\Norman\Nvc\Bin\cclaw.exe C:\Programfiler\Norman\npf\bin\npfuser.exe C:\DOCUME~1\VESTER~1\LOKALE~1\Temp\Midlertidig mappe 1 for HiJackThis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programfiler\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programfiler\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programfiler\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Programfiler\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programfiler\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKLM\..\Run: [NPCTray] C:\Programfiler\Norman\npc\bin\npc_tray.exe /LOAD O4 - HKLM\..\Run: [RegistryMechanic] C:\Programfiler\Registry Mechanic\RegMech.exe /QS O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Registry Cleaner] "C:\Programfiler\Registry Cleaner Trial\Regclean.exe" -startminimize O4 - HKCU\..\Run: [swg] C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programfiler\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programfiler\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programfiler\norman\npc\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programfiler\norman\npc\bin\nlf.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programfiler\Yahoo!\Common\yinsthelper.dll O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programfiler\Norman\Npm\Bin\Elogsvc.exe O23 - Service: GoogleDesktopManager - Google - C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programfiler\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programfiler\Norman\Npm\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Norman ASA - C:\Programfiler\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Parental Control (NPC) - Norman ASA - C:\Programfiler\Norman\npc\bin\npcsvc32.exe O23 - Service: Norman Personal Firewall Service (NPFSvc32) - Norman ASA - C:\Programfiler\Norman\npf\bin\npfsvc32.exe O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Programfiler\Norman\Ngs\bin\NPROSEC.EXE O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programfiler\Norman\nse\bin\NSESVC.EXE O23 - Service: Norman User Activity Agent (NUAA) - Norman ASA - C:\Programfiler\Norman\npc\bin\nuaa.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programfiler\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programfiler\Norman\Npm\bin\NVCSCHED.EXE O23 - Service: Norman's Very Own supplY of resources (NVOY) - Norman ASA - C:\Programfiler\Norman\npm\bin\nvoy.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8584 bytes > Log_per_18.juli.doc Endret 18. juli 2008 av kig Lenke til kommentar
norbat Skrevet 18. juli 2008 Del Skrevet 18. juli 2008 Start HJT, velg "Do a system scan only", sett merke framfor følgende linje og klikk Fix checked O4 - HKCU\..\Run: [Registry Cleaner] "C:\Programfiler\Registry Cleaner Trial\Regclean.exe" -startminimize Ut over dette ser det greit ut. Lenke til kommentar
kig Skrevet 18. juli 2008 Forfatter Del Skrevet 18. juli 2008 Start HJT, velg "Do a system scan only", sett merke framfor følgende linje og klikk Fix checkedO4 - HKCU\..\Run: [Registry Cleaner] "C:\Programfiler\Registry Cleaner Trial\Regclean.exe" -startminimize Ut over dette ser det greit ut. Takker så mye! Da ser det reint ut her, også iflg Norman. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå