Trojan horse!!! 11-04-04 23:05 : arlet 11-04-04 23:06 : arlet 11-04-04 23:10 : Sunowich 11-04-04 23:14 : Sunowich 11-04-04 23:22 : refi 11-04-04 23:30 : arlet 11-04-04 23:31 : arlet 11-04-04 23:31 : Lasse_Madsen 11-04-04 23:40 : tedd 11-04-04 23:40 : Sunowich 11-04-04 23:56 : briani 12-04-04 00:01 : Sunowich 12-04-04 00:05 : Sunowich 12-04-04 00:08 : tedd 12-04-04 00:08 : tedd 12-04-04 00:09 : Sunowich 12-04-04 00:09 : refi 12-04-04 00:11 : tedd 12-04-04 00:14 : Sunowich 12-04-04 00:16 : Lasse_Madsen 12-04-04 00:16 : tedd 12-04-04 00:27 : Sunowich 12-04-04 00:28 : refi 12-04-04 00:31 : Lasse_Madsen 12-04-04 00:34 : Lasse_Madsen 12-04-04 00:47 : refi 12-04-04 01:02 : Lasse_Madsen 12-04-04 01:08 : Sunowich 12-04-04 01:08 : refi 12-04-04 01:10 : Sunowich 12-04-04 01:12 : refi 12-04-04 01:18 : Sunowich 12-04-04 01:21 : tedd 12-04-04 01:23 : tedd 12-04-04 01:24 : tedd 12-04-04 01:26 : Sunowich 12-04-04 01:29 : Sunowich 12-04-04 01:30 : tedd 12-04-04 01:49 : Sunowich 12-04-04 02:09 : Sunowich 12-04-04 17:27 : arlet 12-04-04 17:48 : Sunowich 12-04-04 20:44 : Lasse_Madsen 12-04-04 21:15 : Sunowich 12-04-04 21:20 : Sunowich 12-04-04 21:23 : Sunowich

Trojan horse!!! Fra : Sunowich Vist : 604 gange 100 point Dato : 11-04-04 23:03

Hejsa Jeg er blevet den "lykkelige" indehaver af en "Trojan horse downloader.nex.b" Jeg har Avg antivirus der er fuldt opdateret og det finder den men kan ikke flytte den til virus valut der kommer et vindue hvor der står c windovs/notepad.com can not be removed Har været hos spywarefri og scanne mod horses og på arlets side og scanne med panda den fandt 6 inficerede filer som den slettede men der ligger stadig den omtalte hest på c drevet som jeg ikke kan få has på.Jeg har også prøvet i fejlsikker tilstand med avg men så kommer den med en lille kasse og siger der mangler en øhh vistnok move fil Og jeg har slået systemgendannelse fra da jeg har prøvet alt dette Hmmm Nogle forslag?? Mvh Sune

Kommentar Fra : arlet Dato : 11-04-04 23:05

Prøv trojanhunter her : http://www.arlet.dk/faeettrojan.htm

Kommentar Fra : arlet Dato : 11-04-04 23:06

og ellers må vi se en hijackthis: http://www.arlet.dk/hjt.htm

Kommentar Fra : Sunowich Dato : 11-04-04 23:10

Er ved at lave en log arlet for jeg har været inde og kører en Trojanhunter fra din side men det hjalp ikke Mvh sune

Kommentar Fra : Sunowich Dato : 11-04-04 23:14

Logfile of HijackThis v1.97.7 Scan saved at 23:13:22, on 11-04-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Grisoft\AVG6\avgcc32.exe C:\Programmer\QuickTime\qttask.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programmer\MSN Messenger\msnmsgr.exe C:\DOCUME~1\BR\LOKALE~1\Temp\Rar$EX02.700\FreeRAM XP Pro 1.40.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programmer\Outlook Express\msimn.exe C:\Programmer\Messenger\msmsgs.exe C:\Programmer\Avant Browser\iexplore.exe C:\Programmer\Grisoft\AVG6\avgw.exe C:\Documents and Settings\BR\Dokumenter\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kandu.dk/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll O4 - HKLM\..\Run: [AVG_CC] C:\Programmer\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.8\THGuard.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [FreeRAM XP] "C:\DOCUME~1\BR\LOKALE~1\Temp\Rar$EX02.700\FreeRAM XP Pro 1.40.exe" -win O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Bloker alle billeder fra den samme server - C:\Programmer\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Marker forekomster af ord på denne side - C:\Programmer\Avant Browser\Highlight.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Søg på ord - C:\Programmer\Avant Browser\Search.htm O8 - Extra context menu item: Tilføj til AD Black List - C:\Programmer\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html O8 - Extra context menu item: Åben alle links på denne side... - C:\Programmer\Avant Browser\OpenAllLinks.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab

Kommentar Fra : refi Dato : 11-04-04 23:22

Jeg tror AVG allerede har ændret den til en TXT fil - den kan bare ikke flytte den. Har været udsat for noget lignende engang og kunne efter en genstart fjerne den manuelt.

Kommentar Fra : arlet Dato : 11-04-04 23:30

Og den ligger desværre ikke i loggen

Kommentar Fra : arlet Dato : 11-04-04 23:31

Har du fået af vide hvilke sti den ligger på

Kommentar Fra : Lasse_Madsen Dato : 11-04-04 23:31

Gå ind i Tilføj/Fjern-programmer og afinstallerer flg. programmer, hvis de er der: P2P Networking DAP Arlet-> Hvad med at fixe snavset først, og derefter fjerne Trojanen???

Kommentar Fra : tedd Dato : 11-04-04 23:40

Har du prøvet at lede efter notepad.com? Det skulle være den originale notepad.exe som trojanen har døbt om, og den burde ikke være inficeret!

Kommentar Fra : Sunowich Dato : 11-04-04 23:40

Der står C Windovs / notepad.com can not be remowed når avg finder den og den når vel at scanne i 5 sek før den er fundet og når jeg så vil flytte den til virus valut kommer det frem med at den ikke kan flyttes

Kommentar Fra : briani Dato : 11-04-04 23:56

Husk Google er din ven http://shor.ter.dk/461343692 Mvh Brian

Kommentar Fra : Sunowich Dato : 12-04-04 00:01

Arlet det er medens den scanner i windovs system 32 Og lasse jeg har p2p networking men den vil ikke slettes ???

Kommentar Fra : Sunowich Dato : 12-04-04 00:05

Jeg har lige søgt på notepad i Søg og så snart Notepad altså uden com kommer kassen straks med Trojan advarsel og at jeg skal scanne

Kommentar Fra : tedd Dato : 12-04-04 00:08

prøv at søg på note.pad exe? Det er sandsynligvis der trojaneren gemmer sig. Den har så omdøbt notepad.exe til notepad.com

Kommentar Fra : tedd Dato : 12-04-04 00:08

notepad.exe uden .

Kommentar Fra : Sunowich Dato : 12-04-04 00:09

Efter at have trykket på notepad egenskaber 3 gange og at der komme en ny advarsel op hver gang lykkedes det at få den frem og der kan man trykke på program og der står notepad.com

Kommentar Fra : refi Dato : 12-04-04 00:09

Prøv at genstarte og som det første fjerne filen. Et eller andet har fat i den endnu.

Kommentar Fra : tedd Dato : 12-04-04 00:11

http://www.oit.umass.edu/publications/at_oit/spring01/skelly-viruses.html kig under QaZ

Kommentar Fra : Sunowich Dato : 12-04-04 00:14

Den kan ikke finde noget på notepad.exe uden .

Kommentar Fra : Lasse_Madsen Dato : 12-04-04 00:16

Kommer der en fejlmeddelse op, når du prøver at fjerne P2P Networking???

Kommentar Fra : tedd Dato : 12-04-04 00:16

Hvis den ikke kan finde notepad.exe så prøv at se om du kan omdøbe notepad.com til notepad.exe?

Kommentar Fra : Sunowich Dato : 12-04-04 00:27

Lasse nej og ted prøver har lige genstartet refi uden held

Kommentar Fra : refi Dato : 12-04-04 00:28

Prøv ar slette den i din dosprompt.

Kommentar Fra : Lasse_Madsen Dato : 12-04-04 00:31

Lægger der en mappe i C:\WINDOWS\System32, der hedder P2P Networking???

Kommentar Fra : Lasse_Madsen Dato : 12-04-04 00:34

Refi-> Hvad med at fjerne den i Fejlsikret Tilstand eller bruge Dr. Delete til at fjerne den med??? Link til Dr. Delete: http://www.dslreports.com/r0/download/387897~efbe5f139ddc8d43a72aff9cc6340c23/DrDeleteExeandSourceRARSFX.zip

Kommentar Fra : refi Dato : 12-04-04 00:47

Det jeg mente var blot at du af og til kan være heldig med kommandoen > del notepad.com < han ved jo hvor den ligger.

Kommentar Fra : Lasse_Madsen Dato : 12-04-04 01:02

Ja, men Dos kører jo inde i selve styresystemet på Windows XP, og så kan du jo ligeså godt se, om du bare kan slette den uden videre...

Kommentar Fra : Sunowich Dato : 12-04-04 01:08

refi promten siger forkert syntaks så jeg har prøvet at smide notepad i papirkurven bare for at se min scanner kører indtil den kom til recyle bin

Kommentar Fra : refi Dato : 12-04-04 01:08

Vi er slet ikke uenige - men som sagt virker det andet af og til.

Kommentar Fra : Sunowich Dato : 12-04-04 01:10

Jeg bruger egentlig aldrig notepad til noget ku jeg egentlig bare slette den uden problemer Lasse Madsen

Kommentar Fra : refi Dato : 12-04-04 01:12

Nu spurgte du jo ikke mig men selvfølgelig kan du det - spørgsmålet er bare om det hjælper - for du har jo åbenbart 2 - en exe og en com

Kommentar Fra : Sunowich Dato : 12-04-04 01:18

Når jeg søger på exe kommer der jo ikke nogen kun på com så den horse må jo have inficeret den og lavet om på filnavnet

Kommentar Fra : tedd Dato : 12-04-04 01:21

hvad størrelse har den? How do you know if you have it? First, look at the filesize. The normal notepad.exe file should be around 52 kilobytes in size. The altered version is about 118 kilobytes. That size difference, and the existence of the notepad.com are fairly clear evidence of infection. Og check lige startup i msconfig! Also, the Windows System Configuration Utility (c:\windows\system\msconfig) will have an entry called startIE that points to c:\windows\notepad.exe. This is how the notepad.exe program is run on startup.

Kommentar Fra : tedd Dato : 12-04-04 01:23

Prøv msconfig først og slet referencen til notepad! Så omdøb notepad.com til notepad.exe efter en reboot! Hvis den altså kun er omkring 52 k stor!

Kommentar Fra : tedd Dato : 12-04-04 01:24

Grundet til at avg ikke kan fjerne den ligger sandsynligvis i referencen under startup!

Kommentar Fra : Sunowich Dato : 12-04-04 01:26

nårh ja tedd det havde jeg lige glemt prøver lige at tjekke

Kommentar Fra : Sunowich Dato : 12-04-04 01:29

Hmm har den jo liggende i skraldespanden lige nu og under egenskaber er den kun på 4 k står der

Accepteret svar Fra : tedd Modtaget 100 point Dato : 12-04-04 01:30

Kan du ikke tømme skraldespanden så? 4 k er nok ikke notepad alligevel!

Kommentar Fra : Sunowich Dato : 12-04-04 01:49

Tedd er igang med at scanne efter at have tømt spanden så må vi se vender tilbage om lidt Mvh Sune

Kommentar Fra : Sunowich Dato : 12-04-04 02:09

Nu var den næsten færdig med at scanne c dervet og var lige så glad indtil at den kom op med den samme Horse bare et andet sted et laaaaaaangt navn såe nu ved jeg sku ikke Hvad der er gang i men jeg må prøve videre i morgen da jeg skal i seng nu Sov Godt til alle der har været behjælpelige her Mvh Sune

Kommentar Fra : arlet Dato : 12-04-04 17:27

Kan du ikke slette den fil, den finder. Evt med dr.delete

Kommentar Fra : Sunowich Dato : 12-04-04 17:48

Jeg er ved at prøve Også med Tds3 anti trojan

Kommentar Fra : Lasse_Madsen Dato : 12-04-04 20:44

Hvad er den seneste melding???

Kommentar Fra : Sunowich Dato : 12-04-04 21:15

Lasse jeg klarede den med Coopers forslag denne sidehttp://forums.techguy.org/showthread.php?threadid=214571&2d23feb7707cf52023c529dceaa42664

Godkendelse af svar Fra : Sunowich Dato : 12-04-04 21:20

Tak for svaret tedd.Det var første gang jeg blev af med den men alle jer andre vil jeg da også takke for jeres hjælp Med venlige påskehilsner SunoWich

Kommentar Fra : Sunowich Dato : 12-04-04 21:23

Ups lasse altså i en ny tråd jeg lavede i dag http://www.kandu.dk/dk/spg/38088

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål. Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.