Hej

Gennemfør venligst hele vejledningen her: http://www.spywarefri.dk/forum/links/hjtanv.htm (punkt 1-6) og kopier bl.a. en frisk AVG- og HijackThis-log herind i tråden.

Fair nok. Troede man kunne “springe over hvor gærdet er lavest”, når jeg havde specificeret problemet til en enkelt fil. Her følger diverse logs fra programmerne:

————————————————————————————-
AVG Anti-Spyware - Scan Report
————————————————————————————-

+ Created at: 21:53:17 21-04-2007

+ Scan result:

Nothing found.

::Report end

Logfile of HijackThis v1.99.1
Scan saved at 22:02:23, on 21-04-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\programmer\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\SYSTEM32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Mig\Skrivebord\Spywarefri\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Dell\Bluetooth Software\bin\btwdins.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programmer\SiteAdvisor\6028\SAService.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\apvxdwin.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\BacsTray.exe
C:\Programmer\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmer\Fælles filer\Sonic\Update Manager\sgtray.exe
C:\Programmer\Dell\Media Experience\PCMService.exe
C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
C:\Programmer\Microsoft IntelliPoint\ipoint.exe
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\SiteAdvisor\6028\SiteAdv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Dell\Bluetooth Software\BTTray.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Documents and Settings\Mig\Skrivebord\Spywarefri\hijackthis\hijackthis.exe
C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programmer\SiteAdvisor\6028\SiteAdv.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programmer\SiteAdvisor\6028\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programmer\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programmer\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] “C:\Programmer\Fælles filer\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM\..\Run: [PCMService] “C:\Programmer\Dell\Media Experience\PCMService.exe”
O4 - HKLM\..\Run: [DVDLauncher] “C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe”
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programmer\Google\Gmail Notifier\G001-1.0.25.0\gnotify.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [APVXDWIN] “C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE” /s
O4 - HKLM\..\Run: [IntelliPoint] “C:\Programmer\Microsoft IntelliPoint\ipoint.exe”
O4 - HKLM\..\Run: [IE Privacy Keeper] “C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe” -startup
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programmer\SiteAdvisor\6028\SiteAdv.exe
O4 - HKLM\..\Run: [QuickTime Task] “C:\Programmer\QuickTime\qttask.exe” -atboottime
O4 - HKLM\..\Run: [iTunesHelper] “C:\Programmer\iTunes\iTunesHelper.exe”
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth; - C:\Programmer\Dell\Bluetooth Software\btsendto_ie_ctx.htm
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094847205985
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132509115043
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programmer\SiteAdvisor\6028\SiteAdv.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\System32\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Documents and Settings\Mig\Skrivebord\Spywarefri\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmer\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programmer\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Programmer\SiteAdvisor\6028\SAService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programmer\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

********************************* ROOTCHK-(20-04-07)-LOG, by ejvindh
21-04-2007 22:04:17,37

Driver $sys$aries (hidden) is present. A rootkit scan is recommended.

********************************* ROOTCHK-LOG-end

catchme 0.3.657 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-21 22:04:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Håber ovenstående kan hjælpe til at få virussen fjernet.

På forhånd tak
Jacob HC

Umiddelbart ren log - hvad siger Jotti til filen: http://virusscan.jotti.org/

Jotti giver samme tilbagemelding som virustotal. Kun Panda karakteriserer filen som virus.

Service load: 
0%      100%
File:  DATA1_CAB.vir
Status: 
INFECTED/MALWARE
MD5 78e894ff82931cc1fd62f1a5d433e866
Packers detected: 
-
Scanner results
Scan taken on 21 Apr 2007 22:31:10 (GMT)
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found Trj/Keylogger.AR
Rising Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Umiddelbart virker det som en false positive?

Kan man så bare slette filen, eller ved det medføre at man åbner Pandoras æske?

Jacob

Hov [:I]

Jeg havde totalt overset denne: Driver $sys$aries (hidden) is present. A rootkit scan is recommended.

Jeg sender lige tråden videre. Overfører tråden til Rootkits-kategorien.

Læs her: http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29320

Må man spørge hvad en rootkit er? Skal jeg være nervøs, og måske ligefrem begrænse min brug af computeren?

På forhånd tak
Jacob

Næh ,det er ikke et af de værste, forresten kommer det fra Sony, men de har været så anstændige så de har lavet et afinstallations tool til det -

Lav lige et systemgendannelspunkt først -
Gå i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Systemgendannelse og lav et systemgendannelsespunkt, så du har det at vende tilbage til, hvis noget går galt.

Hent så denne fil, et stykke nede på siden -
The XCP software tool is available for download here as an
EXECUTABLE (2.3 MB)
http://cp.sonybmg.com/xcp/english/updates.html

Kør programmet, det vil sandsynligvis genstarte for at fuldføre rensningen.

Kør så rootchk igen, og send en ny rootchk log herind

Linket kan jeg ikke få til at virke - det gælder både i Firefox og Explorer.

Hvordan undgår jeg Sony’s rootkit i fremtiden? Og hvad er en rootkit?

Jacob

Det virker heller ikke hos mig lige nu, prøv igen senere, det kan være et serverproblem.

Det andet må en anden hellere forklare dig

Og den virker nu igen

Så kunne det downloades.

Det ser ikke ud til, at programmet har ændret noget. Under scanningen med rootchk poppede et infovindue fra Panda frem og meddelte at “mistænksom opførelse” (eller noget i den stil” fra rootchk filen var blevet blokkeret. Det samme skete også første gang jeg brugte rootchk, men fik det ikke lige fortalt. Da jeg brugte XCP uninstaller meddelte den, at intet XCP software var blevet installeret. Jeg kørte dog programmet alligevel.

********************************* ROOTCHK-(20-04-07)-LOG, by ejvindh
22-04-2007 16:17:51,59

Driver $sys$aries (hidden) is present. A rootkit scan is recommended.

********************************* ROOTCHK-LOG-end

catchme 0.3.657 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-22 16:17:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Skal jeg måske bare prøve at slette filen manuelt?

På forhånd tak
Jacob

Først til dit spørgsmål om, hvad et rootkit er, så har jeg skrevet både en kort og en lang forklaring om dette:

Kort forklaring: http://www.ejvindh.net/faq.php?#1
Lang forklaring: http://www.ejvindh.net/viewtopic.php?t=27

Som Magic har skrevet så er det rootkit du har ikke så aggressivt. Det er oprindelig lagt ind som et forsøg fra Sony’s side på at forhindre at du piratkopierer deres varer. Ulempen er blot at det åbner en lem for at andet skidt også kan gemme sig. Derfor bør du få den fjernet.

Angående Panda’s alert på rootchk, så overrasker den mig ikke. Jeg har dog selv programmeret værktøjet og kan forsikre dig om, at det ikke laver noget skidt på din computer. Det foretager sig dog nogle ting, som også typisk foretages af skidt-programmer. Men det er netop for at checke om skidt-programmerne findes. Og det rydder pænt op efter sig igen!

Angående “$sys$aries” så prøv følgende:

—Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

—Pak Avenger-programmet ud og dobbeltklik på avenger.exe

—Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

——————————————-
Files to delete:
c:\windows\system32\$sys$filesystem\aries.sys

drivers to unload:
$sys$aries
——————————————-

—Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

—Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

—Lav også en ny log med rootchk, som du lægger herind.

Så har jeg prøvet ovenstående - men umiddelbart ikke en succes.

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  could not create zip file.
Error code: 0

Error:  could not create reboot file.
Error code: 0

Error:  could not create reboot batch.
Error code: 0

********************************* ROOTCHK-(20-04-07)-LOG, by ejvindh
23-04-2007 21:54:23,24

Driver $sys$aries (hidden) is present. A rootkit scan is recommended.

********************************* ROOTCHK-LOG-end

catchme 0.3.657 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-23 21:54:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Prøvede dog manuelt at slette den fil som Panda klassificerede som virus - hvilket sagtens kunne lade sig gøre. Mine Gyldendal programmer har umiddelbart ingen problemer efter sletningen. Har endnu ikke kørt en fuld scanning med Panda, men gør det efter denne tråd. Rootchk loggen er fra efter sletningen af filen.

Jacob