CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede anderskruse Nybegynder
21. juli 2004 - 17:29 Der er 18 kommentarer og
1 løsning

Backdoor.Trojan

Kære Eksperter

Det ville være dejligt hvis der var en af jer der kunne hjælpe. Jeg har windows XP og mit Norton anitvirus program finder hele tiden denne "backdoor.trojan" som den ikke kan slette eller sætte i karantæne. Norton fortæller at objekt navnet er C:\windows\system32\sqmli.dll. Egentlig fejler computeren ikke noget men det ville være dejligt at slippe af med det "snavs". Tak om nogen kunne komme med forslag.

mvh Anders
Avatar billede fromsej Praktikant
21. juli 2004 - 18:03 #1
Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Hent denne scanner.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Kør scanneren, og følg så næste vejledning.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede anderskruse Nybegynder
21. juli 2004 - 19:14 #2
Hej igen

de to virusscannere fandt hhv 7 og 13 ting som Norton ikke fandt, men problemer er der stadig. Spybot fant intet, ad-aware fandt 2 ting.
hermed er hijackthis log. På forhånd tak for al hjælp.

mvh Anders

Logfile of HijackThis v1.97.7
Scan saved at 19:15:13, on 21-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\snavsfjerner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Opret Foretrukken på mobil enhed (HKLM)
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://www.dadlnet.dk
O15 - Trusted Zone: http://www.laegemiddelstyrelsen.dk
O15 - Trusted Zone: http://www.produktresume.dk
O15 - Trusted Zone: http://sec.telmore.dk
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CCA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://sessa.isprime.com:81/tel2net/CABEDialer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/Typography/Utility/1/WXP/EN-US/clearadj.CAB
Avatar billede fromsej Praktikant
21. juli 2004 - 20:00 #3
Hvis du selv siger god for de 4 i 015 - Trusted zone, så siger jeg god for resten af loggen.*S*
Tjek lige om C:\windows\system32\sqmli.dll er forsvundet, du skal kunne se alle filer.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
Din log er ren, du kan genaktivere systemgendannelse.
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede anderskruse Nybegynder
21. juli 2004 - 20:17 #4
Hej igen

Tak for din indsats, jeg har stadig filen, kan jeg bare slette den?
Jeg havde i øvrigt lavet en lille skrive fejl den hedder C:\windows\system32\sqlmi.dll

mvh Anders
Avatar billede fromsej Praktikant
21. juli 2004 - 20:21 #5
Ja, den sletter du bare.
Det kan være du skal slette den fra fejlsikret, eller med TheKillBox.
http://home8.inet.tele.dk/fbj/TheKillBox.exe
http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm
Avatar billede anderskruse Nybegynder
21. juli 2004 - 20:58 #6
Hej igen

Jeg slettede først vha thekillbox, det undrede mig at jeg kunne blive ved med at slette den samme fil flere gange(?) Prøvede derefter i fejlsikret tilstand at finde filen vha "søg" og nu kunne filen ikke findes. Men jeg har stadig norton antivirus til konstant at advare om "backdoor.trojan" med samme objektnave, nogle gange med store andre gange med små bogstaver.
Har du stadig gode ideér og tålmodighed fromsej?

mvh Anders
Avatar billede fromsej Praktikant
21. juli 2004 - 21:03 #7
Ja til begge dele.

Prøv lige at installere TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/?aff=19652
Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne eventuelle trojanske heste fra din computer.
Avatar billede anderskruse Nybegynder
21. juli 2004 - 22:16 #8
Hej igen

Nu har jeg kørt TrojanHunter, det fandt og slettede en trojansk ting og fandt 2 mulige som ikke ummidlbart kan (skal?) slettes. Og problemet har jeg stadig. Øv. Har du stadig gode forslag? Nærmer jeg mig en formatering af harddisken?

mvh Anders
Avatar billede fromsej Praktikant
21. juli 2004 - 22:42 #9
Det begynder at knibe, men nu er jeg ikke berømt for at give op, så lad os prøve det her:
Hent FINDnFIX her:

http://downloads.subratam.org/FINDnFIX.exe

Dobbeltklik på filen - den vil installere sig på din computer i C:\FINDnFIX

I mappen ligger der !LOG!.bat, som du skal dobbeltklikke på - der går nu lidt tid, mens den indhenter informationer - når den er færdig, lægges der en Log.txt i mappen. Kopier indholdet herind.
---------------------------------------
Til alle andre end Anderskruse:
Vi henstiller, at man undlader at kopiere dette fix og forsøger på egen hånd. Det er ikke et automatisk fix og det kræver tilpasning til den enkelte computer.
Dette er ikke noget TeamSpywarefri har fundet på det er programmøren der siger det.
Avatar billede anderskruse Nybegynder
21. juli 2004 - 22:55 #10
Hej

Du er godt nok udholdende, tak for det. Programmet savnede notepad, så jeg brugte et andet program istedet, det gør vel ikke noget?


»»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»»»
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q813489-Q330994-Q818529-Q822925-Q828750-Q824145-Q832894-Q837009-Q831167-Q823353
Filsystemtypen er NTFS.
C: er ikke ‘ndret.

Wed 21 Jul 04  22:53:42
10:53pm  up 0 days,  2:02

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 7/21)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:\WINDOWS\System32\SQLMI.DLL +++ File read error
\\?\C:\WINDOWS\System32\SQLMI.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:\FINDnFIX\LIST.TXT
SQLMI.DLL    Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT
¯ Access denied ® ..................... SQLMI.DLL    .....57344  02.07.2004 

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\SQLMI.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


C:\WINDOWS\SYSTEM32\
  sqlmi.dll      Fri  2 Jul 2004  0.06.28  .....        57.344    56,00 K

1 item found:  1 file, 0 directories.
  Total of file sizes:  57.344 bytes    56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\SQLMI.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 508

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ    C:\\WINDOWS\\System32\\sqlmi.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs = C:\WINDOWS\System32\sqlmi.dll
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Brugere
(ID-IO) ALLOW  Read            BUILTIN\Brugere
(ID-NI) ALLOW  Full access     BUILTIN\Administratorer
(ID-IO) ALLOW  Full access     BUILTIN\Administratorer
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group D1X54Q0J\Ingen.
User is a member of group \Alle.
User is a member of group BUILTIN\Administratorer.
User is a member of group BUILTIN\Brugere.
User is a member of group \LOKAL.
User is a member of group NT AUTHORITY\INTERAKTIV.
User is a member of group NT AUTHORITY\Godkendte brugere.


»»»»»»Backups created...»»»»»»
10:54pm  up 0 days,  2:03
Wed 21 Jul 04  22:54:49

A          C:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 07-21-2004 keyback.hiv
A          C:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        319 07-21-2004 winkey.reg
*Temp backups...
.             
..           
keyback2.hi_ 
winkey2.re_   


C:\FINDNFIX\
  JUNKXXX        Wed 21 Jul 2004  22.53.40  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                            vk  <            f AppInit_DLLs  G
00001190:    C : \ W I N D O W S \ S y s t e m 3 2 \ s q l m i . d l l 
000011D0:    h      vk                UDeviceNotSelectedTimeout    1 5
00001210:            9 0    | .    vk      '        zGDIProcessHandle
00001250:Quota"      vk      x          Spooler2    y e s    n      h 
00001290:    (  X          vk                  swapdisk    vk         
000012D0:        TransmissionRetryTimeout    h      (  X             
00001310:    vk      '          USERProcessHandleQuota A               
00001350:                                                               
00001390:                                                  v    @     
000013D0:    C:\WINDOWS\System32\MSVCP60.dll                           
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:              w 0  @          C:\WINDOWS\system32\MSVCRT.dll 
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                          w                   

---------- WIN.TXT
fùAppInit_DLLs֍æGÀÿÿÿC
--------------
--------------
$01180: AppInit_DLLs
$011EF: UDeviceNotSelectedTimeout
$0123F: zGDIProcessHandleQuota
$012D8: TransmissionRetryTimeout
$01328: USERProcessHandleQuota
--------------
--------------
C:\WINDOWS\System32\sqlmi.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\sqlmi.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 60 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\sqlmi.dll"
0000    43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00  |  C.:.\.W.I.N.D.O.
0010    57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00  |  W.S.\.S.y.s.t.e.
0020    6d 00 33 00 32 00 5c 00 73 00 71 00 6c 00 6d 00  |  m.3.2.\.s.q.l.m.
0030    69 00 2e 00 64 00 6c 00 6c 00 00 00              |  i...d.l.l...



mvh Anders
Avatar billede fromsej Praktikant
21. juli 2004 - 23:06 #11
Vi kæmper til sidste mand.*S*

I keys1 mappen ligger der en fil der hedder FIX.bat - dobbeltklik på den. Computeren vil genstarte. Giv den tilladelse til at genstarte. Når computeren er genstartet, skal du åbne Stifinder og finde C:\Windows\System32 - find filen sqlmi.dll (den bør være synlig nu). Klik én gang på filen så den bliver markeret med blåt, i menuen for oven skal du vælge Rediger -> Flyt til mappe ...og flyt den til C:\FINDnFIX\junkxxx.

Åben FINDnFIX mappen igen - dobbeltklik på Restore.bat. Når den har kørt ligger der en logfil igen, der hedder Log2.txt - kopier indholdet herind i dit næste indlæg.
Avatar billede anderskruse Nybegynder
21. juli 2004 - 23:24 #12
Desværre kan jeg ikke finde filen! heller ikke med søge funktionen. Hvad kan være galt?

mvh Anders
Avatar billede fromsej Praktikant
22. juli 2004 - 11:19 #13
Hvilken fil?
Her er en oversigt over de filer der er i FindNfix mappen og begge undermapper.
http://home20.inet.tele.dk/fromsej/download/dir.txt
Avatar billede anderskruse Nybegynder
22. juli 2004 - 16:05 #14
Hej igen

Det gik fint lige til jeg skulle finde filen sqlmi.dll
Til gengæld tror jeg problemet er løst, Norton markerer ikke mere.
Jeg har kørt FindNfix igen og her er en log
Tak for din tålmodighed

mvh Anders


»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»

Thu 22 Jul 04  16:04:30
  4:04pm  up 0 days,  0:10

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q813489-Q330994-Q818529-Q822925-Q828750-Q824145-Q832894-Q837009-Q831167-Q823353
Filsystemtypen er NTFS.
C: er ikke ‘ndret.

»»»»»»»»»»»»»»»»»»***LOG2!(*updated 7/21)***»»»»»»»»»»»»»»»»

This log will confirm if the file was successfully moved, and/or
the right file was selected...

Scanning for file(s) in System32...

»»»»»»» (1) »»»»»»»

»»»»»»» (2) »»»»»»»
**File C:\FINDnFIX\LIST.TXT

»»»»»»» (3) »»»»»»»

No matches found.
Unknown/hidden files...

No matches found.

»»»»»»» (4) »»»»»»»
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(5)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»»»(*6*)»»»»»

»»»»»»» Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»*»»» Scanning for moved file... »»»*»»»

(***Note: If the file is listed as +++ read error it's security restrictions couldn't be stripped!
RightClick on the file/properties/security
and check the "Allow Inheritable permissions from parent..." box.
Do the same for the folder (junkxxx) it's in, otherwise ignore and procceed)



No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


fgrep: no files found for C:\FINDNFIX\JUNKXXX\*.*


Filen C:\FINDnFIX\junkxxx\*.* blev ikke fundet.

CHK-SAFE.EXE Ver 2.51 by Bill Lambdin Don Peters and Robert Bullock.
MD5 Message Digest Algorithm by RSA Data Security, Inc.

  File name    Size    Date    Time        MD5 Hash
________________________________________________________________________

»»Permissions:
ERROR: Der er ikke flere filer.

Directory "C:\FINDnFIX\junkxxx\."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x BUILTIN\Administratorer
        Allow  0000001B -co- 10000000 ---A ---- ---- BUILTIN\Administratorer
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  0000001B -co- 10000000 ---A ---- ---- NT AUTHORITY\SYSTEM
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x D1X54Q0J\Anders og Lisbeth
        Allow  0000001B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000010 t--- 001200A9 ---- -S-- r--x BUILTIN\Brugere
        Allow  0000001B -co- A0000000 R-X- ---- ---- BUILTIN\Brugere
        Allow  00000012 tc-- 00000004 ---- ---- --+- BUILTIN\Brugere
        Allow  00000012 tc-- 00000002 ---- ---- -w-- BUILTIN\Brugere

    Owner: D1X54Q0J\Anders og Lisbeth

    Primary Group: D1X54Q0J\Ingen

Directory "C:\FINDnFIX\junkxxx\.."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x BUILTIN\Administratorer
        Allow  0000001B -co- 10000000 ---A ---- ---- BUILTIN\Administratorer
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  0000001B -co- 10000000 ---A ---- ---- NT AUTHORITY\SYSTEM
        Allow  00000010 t--- 001F01FF ---- DSPO rw+x D1X54Q0J\Anders og Lisbeth
        Allow  0000001B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000010 t--- 001200A9 ---- -S-- r--x BUILTIN\Brugere
        Allow  0000001B -co- A0000000 R-X- ---- ---- BUILTIN\Brugere
        Allow  00000012 tc-- 00000004 ---- ---- --+- BUILTIN\Brugere
        Allow  00000012 tc-- 00000002 ---- ---- -w-- BUILTIN\Brugere

    Owner: D1X54Q0J\Anders og Lisbeth

    Primary Group: D1X54Q0J\Ingen




»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
    AppInit_DLLs =

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Brugere
(ID-IO) ALLOW  Read            BUILTIN\Brugere
(ID-NI) ALLOW  Full access     BUILTIN\Administratorer
(ID-IO) ALLOW  Full access     BUILTIN\Administratorer
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM



00001150:                            vk                UDeviceNotSelecte
00001190:dTimeout    1 5            h      vk      '        zGDIProce
000011D0:ssHandleQuota"      9 0    | .    vk                  Spooler2
00001210:    y e s    n      vk                  swapdisk    h         
00001250:    X      vk                  TransmissionRetryTimeout    vk 
00001290:    '          USERProcessHandleQuota A    h              X 
000012D0:            vk                  AppInit_DLLsdisk               
00001310:                                                               
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               

---------- NEWWIN.TXT
AppInit_DLLsdisk
--------------
--------------
$0117F: UDeviceNotSelectedTimeout
$011C7: zGDIProcessHandleQuota
$01270: TransmissionRetryTimeout
$012A0: USERProcessHandleQuota
$012F0: AppInit_DLLsdisk
--------------
--------------
NAVAPSVC.EXE

d....        0  Jul 21  22:53  .   
d....        0  Jul 21  22:53  .. 

2 files found occupying -1024 bytes

CRC-Cyclic Redundancy Checker, Version 1.20, 08-Feb-92, rtk

C:\FINDNFIX\JUNKXXX
        No files found


===============================================================================
            0 bytes  0 cps 
Files: 0  Records: 0  Matches: 0  Elapsed Time: 00:00:00.01

VDIR v1.00
Path: C:\FINDNFIX\JUNKXXX\*.*
---------------------------------------+---------------------------------------
.            <dir>      07-21-:4 22:53|..          <dir>      07-21-:4 22:53
---------------------------------------+---------------------------------------
        2 files totaling 0 bytes consuming 0 bytes of disk space.
17299968 bytes available on Drive C:    No volume label
 
...File dump...


Detecting...

C:\FINDnFIX\junkxxx                                                           
Finished Detecting...                                                          
Avatar billede fromsej Praktikant
22. juli 2004 - 16:55 #15
Åben C:\FINDnFIX\Files2 (mappen Files2) - dobbeltklik på ZIPZAB.bat. Den vil nu rense yderligere og kopiere de "snavsede" filer over i en zipfil der hedder junkxxx.zip.

Programmet vil også åbne dit e-mail program, idet konstruktøren gerne vil have kopier af infektionen, så hun kan udvikle modforholdsreglerne. Jeg skal bede dig om at "trække" junkxxx.zip over i dit e-mail program, i tekst feltet skriver du "http://www.eksperten.dk/spm/521929" og sender filen. Du har nu været med til at bekæmpe denne irriterende infektion.

For at afslutte oprydningen - Hent CWShredder her:
http://danborg.org/spy/CWS/cwshredder.exe

Kør programmet, luk alle vinduer, undtaget CWSschredder, klik på "Fix", den scanner nu, når den er færdig klik på "Next", klik på "Finish".

Genstart din computer, kør HijackThis, scan og læg en frisk log herind.
Avatar billede anderskruse Nybegynder
22. juli 2004 - 17:18 #16
Hej

Hermed loggen

mvh Anders

Logfile of HijackThis v1.97.7
Scan saved at 17:19:41, on 22-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\snavsfjerner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [IE Privacy Keeper] "C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -stcleanup
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Opret Foretrukken på mobil enhed (HKLM)
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://www.dadlnet.dk
O15 - Trusted Zone: http://www.laegemiddelstyrelsen.dk
O15 - Trusted Zone: http://www.produktresume.dk
O15 - Trusted Zone: http://sec.telmore.dk
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CCA6CE4C-2199-4A4F-9542-12E0163D6841} (Dialer Class) - http://sessa.isprime.com:81/tel2net/CABEDialer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/Typography/Utility/1/WXP/EN-US/clearadj.CAB
Avatar billede fromsej Praktikant
22. juli 2004 - 17:28 #17
Den log er ren.*S*
Du skriver højere oppe at "programmet savnede Notepad", virker din notesblok ikke mere?
Er det tilfældet skal den byttes ud med en frisk fra din CD, det er ikke så svært, men hvis den virker er det ikke nødvendigt.
Avatar billede anderskruse Nybegynder
22. juli 2004 - 17:34 #18
Det var findnfix der ikke kunne finde notepad, hijackthis kan tilsyneladende godt(?)Tusind tak for indsatsen, den er uvurderlig.

mvh Anders
Avatar billede fromsej Praktikant
22. juli 2004 - 18:09 #19
Velbekomme, og tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Jeg får en fejl på Enhedssikkerhed Af pouls i Virus 8 04/06/202321:28 05/06/202316:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 01:19 Edge Af MOAN i Browsere
I går 19:52 Lille katalog til mine videoer. Af valby i Fri debat
I går 14:34 Flytte indhold fra en celle til en anden Af torben lind i Excel
I går 12:10 Min asus tuf gaming router virker ikke!? Af Braindead mac user i Wifi
I går 09:44 Session Variable Af bsn i Andet programmering
White papers
Flere white papers »


Premium
Teaser billede
Tre måneder efter exit fra Scandiavian Tobacco: Top-CIO Kenneth Messerschmidt har landet nyt job
Læs mere »
AlfaPeople Nordic indsætter ny direktør for ottende gang siden 2019: CEO skifter til toppost i Retail IT Solutions
Microsoft for første gang klar med dansk version af M365 Copilot
Kræver radikale ændringer: Sådan kan det offentliges it-løsninger bliver både bedre og billigere
Se alle »
Computerworld
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Prøvekørt: Sydkoreansk familie-kolos har plads til alle og sætter alle på plads
Apotekskæde lukker alle butikker efter "cybersikkerhedshændelse"
Test: Disse små højttalere til 44.000 kroner per sæt vil blæse dig bagover - både visuelt og lydmæssigt
Se alle »
CIO
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Microsoft skruer op for CPU-krav til den næste version af Windows 11: Færre brugere kan nu opdatere
Top-CIO Anne Nørklit færdig hos Tryg: “Jeg vil bruge sommeren på at overveje, hvad fremtiden skal bringe”
Køber 25.000 Copilot-licenser af Microsoft i kæmpe-aftale - vil investere milliarder i AI
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Sådan høster du forretningsfordelene ved Internet of Things
Guide: Sådan udvikler du en moderne netværksstrategi
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »