|
|
|
|
Her er resultatet af Gromozon Rootkit Removal scanningen. (Men PC var ikke unormalt længe om at genstarte.) Removal tool loaded into memory
|
|
|
|
|
|
Redaktør
 Antal indlæg: 6158
|
Prøv lige at følge punkt (2) og (3) også. |
|
|
|
|
Punkt nr. 2 virker ikke. jeg bliver smidt helt ud af forum/tråden og må åbne påny. men punkt 3 giver følgende resultat : regf Pugf hbin ¨ÿÿÿnk, üýçÆ ÿÿÿÿ ÿÿÿÿÿÿÿÿ ø x ÿÿÿÿ 0 B Windows ÿÿÿsk x x Ô €¸ È ¤ ! € ! ? ? Øÿÿÿvk B fùAppInit_DLLsÖæG¸ÿÿÿ\ \ ? \ C : \ WINDOW S \ s y s t e m 3 2 \ c o m 5 . s i t m h Ðÿÿÿvk ÀUDeviceNotSelectedTimeoutðÿÿÿ1 5 ±#”£ðÿÿÿ9 0 |. Ðÿÿÿvk €’ zGDIProcessHandleQuota”þàÿÿÿvk € °ºSpooler2ðÿÿÿy e s ¨I h à 0 ` ¨ àÿÿÿvk € swapdiskÐÿÿÿvk ÏTransmissionRetryTimeoutàÿÿÿh à 0 ` ¨ È Ðÿÿÿvk €’ USERProcessHandleQuota ¸ |
|
|
|
|
|
Nå - så lykkedes punkt 2 alligevel, jeg må have gjort noget fejl. catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully |
|
|
|
|
|
Redaktør
Antal indlæg: 6158
|
Det ser godt nok ud til at rootkittet er væk. Men prøv lige følgende: —Hent Avenger her: I tilfælde af at du ikke kan få lov at hente dette program, eller ikke kan få lov til at køre det, sender jeg dig en email med en alternativ udgave, på en alternativ adresse. Vi vil helst ikke have denne udgave ud i offentligheden, da Gromozon-folkene holder øje med dette værktøj. Du må gerne skrive i tråden hvilken version du bruger. —Pak Avenger-programmet ud og dobbeltklik på avenger.exe —Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind: ——————————————- Registry values to replace with dummy: —Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen. —Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar. —Prøv også om du kan lave en log med Hijackthis nu. —Hvis ikke du kan bruge Hijackthis, så prøv SilentRunners: Kør programmet, klik på Ja. Klik på OK. Vent så indtil der kommer en besked om at logfilen er færdig. Find log-filen, og læg den herind (den lægger sig i samme mappe som silentrunner programmet ligger i). |
|
|
|
|
Jeg kan ikke hente Avenger her fra tråden. Jeg bliver smidt helt af og må åbne forum igen. “Silent Runners.vbs”, revision 49, http://www.silentrunners.org/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ HKLM\Software\Classes\PROTOCOLS\Filter\ HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
HKCU\Software\Classes\.bat\(Default) = (value not set) HKCU\Software\Classes\.cmd\(Default) = (value not set) HKCU\Software\Classes\.com\(Default) = (value not set) HKCU\Software\Classes\.exe\(Default) = (value not set) HKCU\Software\Classes\.hta\(Default) = (value not set)
Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “NoCDBurning” = (REG_DWORD) hex:0x00000000 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “DisableRegistryTools” = (REG_DWORD) hex:0x00000000 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 “undockwithoutlogon” = (REG_DWORD) hex:0x00000001
Active Desktop may be disabled at this entry: Displayed if Active Desktop enabled and wallpaper not set by Group Policy: Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
“Symantec NetDetect” -> launches: “C:\Programmer\Symantec\LiveUpdate\NDETECT.EXE” [“Symantec Corporation”]
Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ HKLM\Software\Microsoft\Internet Explorer\Toolbar\ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}\(Default) = “My Web Search Quick View” HKLM\Software\Classes\CLSID\{22B8FE23-7824-FEC2-590C-B31BDC5DE9A0}\(Default) = “JavaScript console” HKLM\Software\Classes\CLSID\{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}\(Default) = “HP-visning” HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = “&Opslag;” Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ HKLM\Software\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ {E2D4D26B-0180-43A4-B05F-462D6D54C789}\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\
C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) Added lines (compared with English-language version): Missing lines (compared with English-language version):
Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\system32\Ati2evxx.exe” [“ATI Technologies Inc.”]
HKLM\System\CurrentControlSet\Control\Print\Monitors\
+ This report excludes default entries except where indicated. |
|
|
|
|
|
Administrator
 Antal indlæg: 32085
|
Der er tegn på infektioner i Silentrunners loggen, men lige for at blive ved avenger, prøv om du kan køre avenger fra fejlsikret tilstand, for der er ingen net forbindelse. Alternativt- højreklik på avenger exe (eller den udgave du har fået pr. mail) omdøb den til - slet exe eller slet com, se om de kan køre
|
|
|
|
|
Det er desværre det samme også i fejlssikret tilstand. (svaret er for nemheds skyld kopieret og genbrugt fra 3/11) Jeg kan ikke hente Avenger her fra tråden. Jeg bliver smidt helt af og må åbne forum igen. |
|
|
|
|
|
Redaktør
Antal indlæg: 6158
|
—Omdøb den alternative version af Avenger, som det er lykkedes dig at hente til “test.exe” (hvis den ikke hedder det allerede). Sørg for at den ligger på skrivebordet. —Kopiér indholdet mellem de stiplede linier ind i et notepad-vindue, og gem indholdet på skrivebordet som vbsregfix.vbs. Når du gemmer, skal du sikre, at der under “filtyper” står “alle filer”. ——————-
Dim Wshshell, fso
——————- —Dobbeltklik så på den fil, som du lige har lavet. Hvis alt går vel, skulle computeren efter kort tid herefter gerne genstarte. Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar. —Uanset hvad der sker, må du gerne lave en ny log med SilentRunners, som du lægger herind. |
|
|
|
|
Efter omdøbning af avenger, og kopiering af tekst ind i et Notesblok vindue. Dobbeltklikkede jeg på Notesblokken på skrivebordet. der skete tilsyneladende ingenting. Ingen genstart af PC, eller anden synlig aktivitet, men der kom et lille nyt Notesblok dokument (script) på skrivebordet. Indhold er som følgende : Files to delete: Registry values to replace with dummy: Derefter kørte jeg en ny SilentRunners med følgende resultat : “Silent Runners.vbs”, revision 49, http://www.silentrunners.org/
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ HKLM\Software\Classes\PROTOCOLS\Filter\ HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “NoCDBurning” = (REG_DWORD) hex:0x00000000 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 “undockwithoutlogon” = (REG_DWORD) hex:0x00000001
Active Desktop may be disabled at this entry: Displayed if Active Desktop enabled and wallpaper not set by Group Policy: Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
“Symantec NetDetect” -> launches: “C:\Programmer\Symantec\LiveUpdate\NDETECT.EXE” [“Symantec Corporation”]
Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ HKLM\Software\Microsoft\Internet Explorer\Toolbar\ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}\(Default) = “My Web Search Quick View” HKLM\Software\Classes\CLSID\{22B8FE23-7824-FEC2-590C-B31BDC5DE9A0}\(Default) = “JavaScript console” HKLM\Software\Classes\CLSID\{B2847E28-5D7D-4DEB-8B67-05D28BCF79F5}\(Default) = “HP-visning” HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = “&Opslag;” Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ HKLM\Software\Microsoft\Internet Explorer\Extensions\ {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ {E2D4D26B-0180-43A4-B05F-462D6D54C789}\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\
C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) Added lines (compared with English-language version): Missing lines (compared with English-language version):
Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\system32\Ati2evxx.exe” [“ATI Technologies Inc.”]
HKLM\System\CurrentControlSet\Control\Print\Monitors\
+ This report excludes default entries except where indicated.
|
|
|
|
|
|
Redaktør
Antal indlæg: 6158
|
Der er nu ellers sket nogle fremskridt i SilentRunners loggen, men den sværeste rettelse mangler desværre stadigvæk. (1) Jeg kunne godt tænke mig at vide om du efter en genstart stadig ikke kan køre Hijackthis og den omdøbte version af Avenger? (2) Prøv om du kan få lov til at downloade og køre den store version af Gmer’s antirootkit-scanner. Download Gmer-rootkit scanner, og pak den ud til skrivebordet: Omdøb “Gmer.exe” til “omdøbt.exe”. Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v. |
|
|
|
|
1 - jeg kan stadig ikke køre Hijackthis ( jeg har den ellers liggende under 3 originale/omdøbte navne, nemlig: danborg.org-spy-hj og hijackthis alternativ og slet com, men ingen af dem kan køres )og ej heller den på skrivebordet liggende til: test.exe, omdøbte Avenger. NB skal man have WinZip for at åbne gmer ??? jeg får på min anden PC et vindue om at købe winzip til $29. Og så skal jeg jo nok anskaffe den for at kunne åbne når/hvis det engang lykkedes at komme så langt her på denne PC også. |
|
|
|
|
|
Redaktør
Antal indlæg: 6158
|
Det skulle ikke være nødvendigt at købe Winzip. For det første kan man blive ved med at bruge trial-udgaven. For det andet burde den indbyggede zip-udpakker i XP også kunne gøre jobbet. Blot er det vigtigt at du faktisk udpakker programmet, og ikke bare prøver at køre den inde fra zip-filen. Du skal altså dobbeltklikke på zip-filen, og i det vindue som åbnes skal du ovre til venstre klikke på “Udpak alle filer”, og herefter følge instruksionerne, for at få filen pakket ud. Prøv nu følgende: (1) Prøv om du kan hente den, og køre den. Hvis ja, så følg instruksionerne fra forrige indlæg. (2) Hent “System Virginity Verifier” herfra, og pak det ud til en selvstændig mappe på skrivebordet. Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet i den mappe, hvor “System Virginity Verifier” ligger. Når du gemmer filen, skal du kalde den runssv.bat, og du skal sikre dig, at der under “Filtyper” står “Alle filer”: —————— (3) Dobbeltklik på filen, og klik på Extract, for at pakke programmet ud. Så dukker der en ny mappe op på skrivebordet, der hedder WinPfind2. Inde i denne mappe skal du klikke på Winpfind2.exe. Ovre til højre skal du markere “Policies.def”, Security.def”, “ShellState.def”. Klik herefter på “Run all scans”. Så vil computeren blive scannet. Når der nederst til venstre står “Scans Complete!”, klikker du på “Simple report”, hvorefter der vil åbnes en logfil, som du skal lægge herind. |
|
|
|
|
nr.(1) virker ikke. Jeg får kun lige et glimt af næste vindue, men kan ikke nå at se og aktivere noget. Men der kom et nyt “billed” eller ikon hvis det hedder sådan, på skrivebordet. Det er en firkant med et gult og et grønt tandhjul på. ??? nr.(2) var bedre, filen blev som følgende: Important module ntoskrnl.exe not found SYSTEM INFECTION LEVEL: 0 nr.(3) filen blev som følgende : Logfile created on: 13-11-2006 23:28:23
< Registry Entries > [>> Internet Explorer Settings <<] [>> BHO’s <<] [>> Internet Explorer Bars, Toolbars and Extensions <<] [HKLM-> Internet Explorer Bars] [HKCU-> Internet Explorer Bars] [HKLM-> Internet Explorer ToolBars] [HKCU-> Internet Explorer ToolBars] [HKCU-> Internet Explorer CmdMapping] [HKLM-> Internet Explorer Extensions] [HKCU-> Internet Explorer Menu Extensions] [HKLM-> Internet Explorer Plugins] [>> Approved Shell Extensions (Non-Microsoft only) <<] [HKLM-> Approved Shell Extensions] [>> ContextMenuHandlers (Non-Microsoft only) <<] [HKLM-> ContextMenuHandlers] [>> ColumnHandlers (Non-Microsoft only) <<] [HKLM-> ColumnHandlers] [>> File Associations Keys <<] [>> Registry Run Keys <<] [>> Miscellaneous Startup Keys <<] [AppInit DLLs] [Image File Execution Options] [Shell Service Object Delay Load] [Shell Execute Hooks] [Shared Task Scheduler] [SafeBoot Option] [HKLM Command Processor AutoRun] [HKCU Command Processor AutoRun] [Security Providers] [BootExecute] [PendingFileRenameOperations] [FileRenameOperations] [ExcludeFromKnownDlls] [>> Disabled MSConfig Items <<] [>> User Agent Post Platform <<] [>> Winlogon <<] [>> DNS Name Servers <<] [>> All Winsock2 Catalogs <<] [>> Protocol Handlers (Non-Microsoft only) <<] [>> Protocol Filters (Non-Microsoft only) <<] < Services (Non-Microsoft Only) > < Files > Auto-Start Folders HKLM->Explorer\Shell Folders\\Common Startup = C:\Documents and Settings\All Users\Menuen Start\Programmer\Start HKLM->Explorer\User Shell Folders\\Common Startup = %ALLUSERSPROFILE%\Menuen Start\Programmer\Start HKLM->Explorer\Shell Folders\\Startup = C:\Documents and Settings\HP_Ejer\Menuen Start\Programmer\Start HKCU->Explorer\User Shell Folders\\Startup = %USERPROFILE%\Menuen Start\Programmer\Start Miscellaneous Auto-Start Files Miscellaneous Folders AllUsers ApplicationData Folder CurrentUser ApplicationData Folder Program Files Folder Common Files Folder DPF files Hosts file = 723 bytes. Reading all entries. C:\WINDOWS\System32\drivers\etc\Hosts < Add On’s > >>>>Output for AddOn file Policies.def<<<< KEY - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies - Include SUBKEYS KEY - HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer - Include SUBKEYS KEY - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies - Include SUBKEYS KEY - HKCU\SOFTWARE\Policies\Microsoft\Internet Explorer - Include SUBKEYS >>>>Output for AddOn file Security.def<<<< KEY - HKLM\SOFTWARE\Microsoft\Security Center - Include SUBKEYS KEY - HKLM\SYSTEM\CurrentControlSet\Services\BITS - Include SUBKEYS KEY - HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess - Include SUBKEYS KEY - HKLM\SYSTEM\CurrentControlSet\Services\wuauserv - Include SUBKEYS >>>>Output for AddOn file ShellState.def<<<< KEY - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer - No SUBKEYS < End of report > |
|
|
|
|
|
Redaktør
Antal indlæg: 6158
|
Det er mystisk, for alle de rootkit-scannere som virker, finder ikke noget. Og samtidig er der rester efter et rootkit, som normalt forhindrer kørslen af visse rootkit-scannere. Så dette tyder jo på, at den er aktiv. Men lad os lige prøve at se om vi simpelthen kan fixe resterne manuelt først. Hvis dette lykkes, skal årsagen til problemerne med kørslen af scannerne findes andetsteds… —Klik på Start=>Kør skriv: SFC /scannow (husk mellemrum mellem SFC og /scannow) —Kopiér indholdet mellem de stiplede linier ind i et notepad-vindue, og gem indholdet på skrivebordet som vbsregfix2.vbs. Når du gemmer, skal du sikre, at der under “filtyper” står “alle filer”. ——————-
Dim Wshshell, fso
—Dobbeltklik så på den fil, som du lige har lavet. —Genstart herefter til fejlsikret tilstand, og dobbeltklik på den nye fil igen. —Genstart herefter til normal tilstand, og læg en ny log fra WinPfind2 herind, så jeg kan se, hvor meget det har hjulpet. —Prøv også igen om du kan lave en log med Hijackthis, og meld resultatet herind. |
