Kør WinPFind3U fra WinPFind3U-mappen igen. Kopier indholdet mellem de bølgede linier ind i det hvide felt til højre (højreklik på feltet og vælg “sæt ind”/“paste”):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
[Kill Explorer]
[Driver Services - Non-Microsoft Only]
YY -> (catchme) catchme [Kernel | On_Demand | Stopped] -> %SystemDrive%\DOCUME~1\nek\LOCALS~1\Temp\catchme.sys
YY -> (ZZZMPR5) ZZZMPR5 NDIS Protocol Driver [Kernel | On_Demand | Stopped] -> %System32%\ZZZMPR5.SYS
[Start Explorer]
[Reboot]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Klik herefter på “Run Fix”, og følg instruksionerne, der gives. Din computer vil nu genstarte. Efter genstart skal du åbne WinPFindu-mappen igen. Her vil nu ligge en log, hvis navn består af en masse numre - den skal du kopiere herind. Du behøver i første omgang ikke lægge en ny log fra Winpfind3u herind.

—Prøv herefter at genstarte computeren, hente en ny version af Combofix, tage netstikket ud af computeren, og deaktivere Panda. Prøv så at køre en scanning med Combofix. Aktiver så igen Panda, sæt netstikket i igen, og læg logfilen fra Combofix herind til gennemsyn.

—Skriv også gerne hvordan computeren kører nu.

Maskinen kører som sådan ok,
jeg har mirrored den switch port som den inficerede maskine sidder på over på en anden switch port, som
jeg har overvåget 24 timer, med etherreal, uden at den har forsøgt at kontakte uventede ip adresser, så det
er en indikation af at den er fjernet.

men nedenstående reg nøgler er der stadig.

HKEY_USERS\S-1-5-21-2025429265-115176313-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3A14B569-9C4B-D272-B4B2-D11E33B9A096}

HKEY_USERS\S-1-5-21-2025429265-115176313-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{840FA7D9-4C20-174E-6A20-7FB4C826FD8F}

ComboFix virker stadig ikke helt, jeg måtte fiske nedenstående log fil fra combofix kataloget.

ComboFix 07-12-31.4 - nek 2008-01-02 5:38:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.2593 [GMT 1:00]
Running from: C:\spywarefri\ComboFix.exe
* Created a new restore point
.
/wow section - STAGE 33
/wow section - STAGE 34

(((((((((((((((((((((((((  Files Created from 2007-12-02 to 2008-01-02 )))))))))))))))))))))))))))))))
.

De entries, du nævner fra rootchk-loggen har jeg tidligere bøvlet en del med. De undersøgelser jeg gjorde dengang tydede ikke på, at de var relateret til noget snavs. Vi kan gerne undersøge lidt videre på din computer, men jeg er af den overbevisning, at vi har fået slået infektionen ned.

Hvis du alligevel gerne vil give et ekstra check, så prøv følgende:
Download Gmer-rootkit scanner, og pak den ud til skrivebordet (det er vigtigt at du bruger den version, som jeg linker til, da der lige er kommet en ny!!):
http://www2.gmer.net/beta/gmer.exe

Kør programmet, og vent imens der laves en hurtig “Quick Scan”. Klik så på “Scan”. Imens der scannes, bør du afbryde netforbindelsen, lukke alle åbne programmer, og undlade at bruge computeren til andre ting. Du bør heller ikke klikke på andre ting i Gmer-scanneren. Når scanningen er færdig, skal du klikke på “Save”, og gemme logfilen et sted, hvor du kan finde den igen. Find så logfilen, som du lige har gemt, og kopier indholdet herind i tråden.

I nogle tilfælde er logfilen så lang, at den ikke kan være i en enkelt post. Så må du lægge den af flere omgange.

Hej,

Jeg har selv fået fjernet de benævnte registry entries, jeg gendannede Registry Hivet for den bruger hvor de lå,
Export af hive
fra safemode fjernet NTUSer.dat/log
derefter login som brugeren
og import af modificeret reg fil.

maskinen er nu blevet overvåget i 72 timer uden at den har kontaktet uventede ip adresser (via etherreal)

så jeg vil konkludere at infektionen er væk.

Tak for hjælpen

/NielsErik

Alt i orden. Så lukker vi her. Du får lige lidt tips til oprydning og fremtidssikring her:

Hent denne lille fil og gem den i roden af dit C-drev (C:\SWF_oprydning.exe):
http://www.ctrlaltdel.dk/SWF_oprydning.exe

Dobbeltklik på SWF_oprydning.exe og følg vejledningen som programmet giver. Da det er et nyt program, som vi bruger, vil vi være interesserede i at se den logfil, som åbnes når det er færdigt—for at se om programmet skal tilrettes yderligere.

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser disse artikler om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://www.ejvindh.net/viewtopic.php?t=37

Hej,
her er log filen for SWF_oprydning.exe, lige en kommentar, det ville være rart at oprydning.txt ikke blev slettet når
SWF_oprydning.exe er kørt færdig og man har lukket notepad. Jeg havde nu fjernet de fleste af tools’ne før denne blev kørt.

NB: SWF_oprydning.exe efterlader 24 kørende command prompts (cmd.exe), de vises ikke i task baren, men i task manager

/NielsErik

Version 0.2 - 1. januar 2008

ComboFix blev ikke fundet
HaxFix blev ikke fundet
HijackThis blev ikke fundet
C:\ComboFix*.txt ikke fundet
Avenger.* ikke fundet
Avenger ikke fundet
Bfu.* ikke fundet
BFU ikke fundet
Dss.exe ikke fundet
FindAWF.* ikke fundet
AWF.txt ikke fundet
VundoFix.* ikke fundet
VundoFix ikke fundet
Gmer.* ikke fundet
NoLop.* ikke fundet
NoLopBackup ikke fundet
Winpfind.* ikke fundet
Killbox.* ikke fundet
!Killbox ikke fundet
SmitfraudFix*.* ikke fundet
SmitfraudFix ikke fundet
Fixwareout*.* ikke fundet
Fixwareout ikke fundet
SDFix*.* ikke fundet
SDFix ikke fundet
Rootchk*.* ikke fundet
Rootlog.* ikke fundet
Sysinsite ikke fundet
Spywarefri mappe ikke fundet
SWF_oprydning.zip ikke fundet

Hej NielsErik

Det er mit første forsøg på at lave et “anvendeligt” program, så jeg sætter pris på din tilbagemelding.

1. Faktisk ved jeg ikke, hvad jeg vil med log’en - udover at se, at programmet er kørt. Jeg kan naturligvis lade være med at slette log’en ved lukning af Notesblok, men meningen er jo at alt skal væk

2. Problemet med de åbne cmd.exe kigger jeg lige på - de skal selvfølgelig lukkes igen. EDIT: Ny udgave, der lukker de åbne processer er uploadet.

EDIT (igen): Jeg kunne naturligvis lave en sætning i log’en der opfordrer brugeren til at gemme log’en med et andet navn, hvis den ikke skal slettes…