Spywarefri Forum | Trojan horse Lop.AH og swizzor

1 af 3

Trojan horse Lop.AH og swizzor

[ Ignorer ] rotterdam
03.11.2006 11:13:20 Antal indlæg: 24	Hej Spyware, jeg har et problem med Lop.AH, min AVG finder den hele tiden og jeg har haft popups der spørger omm jeg leder efter en eller anden side. Jeg får også swizzor på min scan med spyware hele tiden. Jeg har lavet en log som ser sådan her ud. Logfile of HijackThis v1.99.1 Scan saved at 09:06:05, on 03-11-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programmer\FSC\Wireless Wheel Mouse\MOUSE32A.EXE C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programmer\Logitech\Video\LogiTray.exe C:\Programmer\iTunes\iTunesHelper.exe C:\Programmer\SPYWAREfighter\spftray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\Programmer\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programmer\Netropa\Onscreen Display\OSD.exe C:\Programmer\Netropa\InetKb\Inetkb.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programmer\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\iPod\bin\iPodService.exe C:\Programmer\SPYWAREfighter\spfprc.exe C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\cidaemon.exe C:\Programmer\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmer\Internet Explorer\iexplore.exe C:\WINDOWS\System32\HPZipm12.exe C:\Documents and Settings\sambet.SAMBET-G7I9UG5G\Skrivebord\Highjack this\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmer\FSC\Wireless Wheel Mouse\MOUSE32A.EXE O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [iTunesHelper] “C:\Programmer\iTunes\iTunesHelper.exe” O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmer\SPYWAREfighter\spftray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmer\Logitech\Video\ManifestEngine.exe boot O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://62.242.67.35/iNotes.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130532959046 O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://62.242.67.36/tsweb/msrdp.cab O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.kortal.dk/ecwplugins/ncs.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {AA169A25-2A7F-4F6F-A102-4D9A80007860} (RxContent Viewer) - http://viewer4.byggeweb.dk/RxCView.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmer\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmer\SPYWAREfighter\spfprc.exe Hvad siger i til det
[ Ignorer ] [ # 1 ] rotterdam
03.11.2006 11:20:07 Antal indlæg: 24	glemte lige en ting, min automatiske opdatering finder hele tiden den samme opdateering som jeg indstallere kun for at se den 5 minutter efter som en ny opdatering??
[ Ignorer ] [ # 2 ] Magic Emeritus
03.11.2006 11:41:13 Administrator Supporter Emeritus Antal indlæg: 29613	Hej rotterdam og velkommen Lad os starte med standard proceduren - Følg denne anvisning -> [url=“http://www.spywarefri.dk/forum/links/hjtanv.htm”] Hijackthis anvisning [/url] resultatet skal du kopier ind i denne tråd. Det gør du ved at klikke på- Svar på emne- knappen, og så kopier det herind. NB. Vi vil også gerne se ewido loggen Læg mærke til at der er en anden version af hijackthis exe i vejledningen, som du skal hente og bruge
[ Ignorer ] [ # 3 ] rotterdam
03.11.2006 16:28:58 Antal indlæg: 24	Det tog lidt tid….. Logfile of HijackThis v1.99.1 Scan saved at 14:23:21, on 03-11-2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programmer\Netropa\Multimedia Keyboard\nhksrv.exe C:\ATI-CPanel\atiptaxx.exe C:\Programmer\FSC\Wireless Wheel Mouse\MOUSE32A.EXE C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\System32\cisvc.exe C:\Programmer\Netropa\Multimedia Keyboard\TrayMon.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programmer\Netropa\Onscreen Display\OSD.exe C:\Programmer\Netropa\InetKb\Inetkb.exe C:\Programmer\Logitech\Video\LogiTray.exe C:\Programmer\ewido\security suite\ewidoctrl.exe C:\Programmer\iTunes\iTunesHelper.exe C:\Programmer\ewido\security suite\ewidoguard.exe C:\Programmer\SPYWAREfighter\spftray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\WINDOWS\System32\snmp.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programmer\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\svchost.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\wuauclt.exe C:\Programmer\iPod\bin\iPodService.exe C:\Programmer\SPYWAREfighter\spfprc.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\sambet.SAMBET-G7I9UG5G\Skrivebord\Highjack this\alternativ.exe C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqfru07.exe C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmer\FSC\Wireless Wheel Mouse\MOUSE32A.EXE O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [iTunesHelper] “C:\Programmer\iTunes\iTunesHelper.exe” O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmer\SPYWAREfighter\spftray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmer\Logitech\Video\ManifestEngine.exe boot O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - http://62.242.67.35/iNotes.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130532959046 O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://62.242.67.36/tsweb/msrdp.cab O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://www.kortal.dk/ecwplugins/ncs.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {AA169A25-2A7F-4F6F-A102-4D9A80007860} (RxContent Viewer) - http://viewer4.byggeweb.dk/RxCView.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmer\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmer\SPYWAREfighter\spfprc.exe og ————————————————————————————- ewido anti-malware - Scanningsrapport ————————————————————————————- + Oprettet den: 14:17:08, 03-11-2006 + Rapport-Checksum: 938865A4 + Scanningsresultat: C:\Programmer\Messenger Plus! 2\Setup.dat/70000011.exe -> Downloader.Swizzor.af : Renset med backup ::Rapport slut Det var jo en større omgang at scanne men nu skulle den være der - kill…
[ Ignorer ] [ # 4 ] Magic Emeritus
03.11.2006 16:41:25 Administrator Supporter Emeritus Antal indlæg: 29613	Jah, det kan godt tage sin tid at scanne [:D] Men så er du sluppet af med swizzor´en Kør en scanning med Hijackthis, så du kan se alle filer. Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet.Nu må du fixe. Klik på Fix checked: R3 - Default URLSearchHook is missing O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab Så er loggen ren. Men jeg kunne godt tænke mig lige at tjekke for Lop.AH infektionen - Hent catchme exe her: http://www.gmer.net/catchme.php Kør catchme exe, så vil den scanne computeren, når den er færdig laver den en log fil som du gerne må kopiere herind. Vi behøves ikke flere hijackthis log filer
[ Ignorer ] [ # 5 ] rotterdam
03.11.2006 16:50:25 Antal indlæg: 24	Sådan, nu er jeg færdig med det første, henter nu catchme - jeg får stadig “while opening file C:\WINDOWS\ajqrp1.dll trojan horse Lop.AH found” Will be back !
[ Ignorer ] [ # 6 ] rotterdam
03.11.2006 16:58:59 Antal indlæg: 24	øhh, hvordan får jeg kopieret cachme filen?
[ Ignorer ] [ # 7 ] rotterdam
03.11.2006 17:02:39 Antal indlæg: 24	catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net detected NTDLL code modification: ZwQueryDirectoryFile, ZwQuerySystemInformation scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = \\?\C:\WINDOWS\system32\lpt9.bot scanning hidden files ... C:\WINDOWS\ajqrp1.dll 77824 bytes C:\WINDOWS\system32\lpt9.bot 151552 bytes scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 2 Hey Magic !! her er den
[ Ignorer ] [ # 8 ] Magic Emeritus
03.11.2006 17:10:47 Administrator Supporter Emeritus Antal indlæg: 29613	Jep, du er “beriget” med et rootkit Hent Avenger her: http://swandog46.geekstogo.com/avenger.zip Eller denne: http://swandog46.geekstogo.com/test.exe —Pak Avenger-programmet ud og dobbeltklik på avenger.exe (test exe) —Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind: ——————————————- Files to delete: C:\WINDOWS\ajqrp1.dll C:\WINDOWS\system32\lpt9.bot Registry values to replace with dummy: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows \| AppInit_DLLs ——————————————- —Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen. —Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar og fortælle hvordan computeren opfører sig nu.
[ Ignorer ] [ # 9 ] rotterdam
03.11.2006 17:15:39 Antal indlæg: 24	ups, så gik jeg lidt kold ... ingen af siderne kan vises!!
[ Ignorer ] [ # 10 ] rotterdam
03.11.2006 17:24:54 Antal indlæg: 24	hej igen, jeg har prøvet at hente Avenger gennem andre sider også, samme besked, siden kan ikke vises…. den er måske nede?? og undskyld min uvideenhed, hvad er et rootkit??
[ Ignorer ] [ # 11 ] Magic Emeritus
03.11.2006 17:35:02 Administrator Supporter Emeritus Antal indlæg: 29613	De bliver mere og mere agressive de rootkit, de blokerer for de værktøjer der kan fixe dem [:(!] Vi prøver lige med killbox - Download Killbox til skrivebordet: http://www.thespykiller.co.uk/files/killbox.exe Start Killbox. Gå op i file, vælg - paste from cliboard Sæt prik i - delete on reboot. I “Full Path of File to Delete” boxen, kopier nedenstående ind —————————————- C:\WINDOWS\ajqrp1.dll C:\WINDOWS\system32\lpt9.bot —————————————————— sæt flueben ved -Unregister dll Before Deleting button. Klik på knappen med det røde kryds, du vil blive spurgt om du vil genstarte, sig JA Kør så catchme igen, og send en ny catchme log herind
[ Ignorer ] [ # 12 ] Magic Emeritus
03.11.2006 17:37:55 Administrator Supporter Emeritus Antal indlæg: 29613	Her står lidt om rootkit: http://www.spywareguide.dk/modules.php?name=Content&pa=showpage&pid=55
[ Ignorer ] [ # 13 ] rotterdam
03.11.2006 18:00:36 Antal indlæg: 24	I rykker jo helt vildt…. her er log, jeg kunne ikke sætte dem begge ind og samtidigt “delete on reboot” den var kun aktiv ved den nederste af de 2 filer, altså ikke dll filen. catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net detected NTDLL code modification: ZwQueryDirectoryFile, ZwQuerySystemInformation scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = \\?\C:\WINDOWS\system32\lpt9.bot scanning hidden files ... C:\WINDOWS\ajqrp1.dll 77824 bytes C:\WINDOWS\system32\lpt9.bot 151552 bytes scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 2
[ Ignorer ] [ # 14 ] rotterdam
03.11.2006 18:01:57 Antal indlæg: 24	og Lop.AH er der hele tiden når jeg åbner sider….
[ Ignorer ] [ # 15 ] Magic Emeritus
03.11.2006 18:11:33 Administrator Supporter Emeritus Antal indlæg: 29613	Det hjalp ikke meget, prøv om du kan det her - - Hent Gromozon Rootkit Removal fra denne side: http://aknow.prevx.com/zeroL/FixGrom.exe (alternativt herfra) http://thepiratebay.org/tor/3538707/Gromozon_Rootkit_Removal_Tool http://pcalsicuro.phpsoft.it/FixGrom.exe —Start med at køre Gromozon Rootkit Removal. Følg instruksionerne på skærmen. Når computeren genstarter, vil den nok være længe om det. Det er helt normalt. Hvis der slet ikke sker noget, så prøv at trykke på nogle af tasterne på tastaturet. Når GRR-værktøjet er færdig med at scanne, vil det opfordre til at du skal installere Prevx’ hovedprogram. Det behøver du ikke gøre. GRR laver en log når den er færdig, som ligger her: c:\gromozon_removal.log—du må gerne lægge indholdet af denne fil herind.

1 af 3

Næste