updr32.exe trojan

Af Bruger Aspirant sonderskov | 10-09-2004 23:14 | 1484 visninger | 14 svar, hop til seneste

Her har vi vist beviset på at norton 2004 virkelig er ringe. Har prøvet to andre antivirus software programmer som begge fandt frem til denne virus. Nå nok brok om norton. Her er mit problem, disse antivirus programmer kan sagtens fnde den, men de har ikke mulighed for at fjerne den..kan ikke engang sætte filen i karantæne:( Ved ikke helt præcis hvad denne virus gør ved mit system, men vil gerne have den væk så hurtigt som muligt. Kan intet finde nogle steder om denne virus desværre så håber der sidder en derude med en løsning
--

#1
Armageddon
Moderator
11-09-2004 01:12

Rapporter til Admin

Hent HijackThis, scan maskinen og smid loggen herind. http://www.mdegn.dk[...]
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#2
*Cookie
Juniorbruger
11-09-2004 01:33

Rapporter til Admin

#1 Skal han ikke køre med flg. først? Ad-aware http://www.lavasoft.de[...] SpyBot S&D http://www.safer-networking.org[...] CWShredder http://www.mdegn.dk[...] For lige at tage det værste snavs først.... sagde en meget klog mand til mig engang ;o)!
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#3
Armageddon
Moderator
11-09-2004 01:44

Rapporter til Admin

#2 Hehe, det kan han da godt, men det gavner ikke ret meget i denne situation da ingen af dem kan fjerne trojaneren. Derfor går vi lige på og hårdt ved at ordne den manuelt.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#4
*Cookie
Juniorbruger
11-09-2004 01:50

Rapporter til Admin

#3 Hm, lærer det ski aldrig, VRÆÆÆL :-D! Nåh, ikke tude mere. Op at stå! Ikke andet at gøre end at blive ved at observere og lytte til dig, så kan det være, at en skønne dag .... ;o)!?!?!
--
Make somebody else's day - commit an act of kindness ... TODAY :o)!

#5
Jan
Gæst
11-09-2004 02:58

Rapporter til Admin

#0 Der er ikke så meget at bevise, da andre antivirus programmer heller ikke umiddelbart kan fjerne dette eksemplar automatisk. http://www.trendmicro.com[...]
--
Gæstebruger, opret dit eget login og få din egen signatur.

#6
sonderskov
Bruger Aspirant
11-09-2004 16:41

Rapporter til Admin

Sådan ser min log ud, som i kan se lgger den ved windows update. Men nu den er her, er der så andre ting i synes jeg skal gøre noget ved?? Mvh René Logfile of HijackThis v1.98.2 Scan saved at 16:43:44, on 11-09-2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32Ati2evxx.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe C:PROGRA~1GrisoftAVG6avgserv.exe C:WINDOWSsystem32WIND0WS.exe C:WINDOWSSOUNDMAN.EXE C:PROGRA~1GrisoftAVG6avgcc32.exe C:WINDOWSsystem32ctfmon.exe C:ProgrammerMessengermsmsgs.exe C:WINDOWSsystem32wuauclt.exe C:ProgrammerInternet Exploreriexplore.exe C:Documents and SettingsAdministratorSkrivebordHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks O4 - HKLM..Run: [Microsoft Update Protocols] updr32.exe O4 - HKLM..Run: [WIND0WS] WIND0WS.exe O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GrisoftAVG6avgcc32.exe /STARTUP O4 - HKLM..RunServices: [Microsoft Update Protocols] updr32.exe O4 - HKLM..RunServices: [WIND0WS] WIND0WS.exe O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe O4 - HKCU..Run: [MSMSGS] "C:ProgrammerMessengermsmsgs.exe" /background O4 - HKCU..Run: [Microsoft Update Protocols] updr32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
--

#7
Armageddon
Moderator
11-09-2004 21:51

Rapporter til Admin

Hejsa, Der er et par småting som lige skal fixes. Start med at deaktivere systemgendannelse. Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik ok og genstart. Hent KillBox - http://www.mdegn.dk[...] Pak programmet ud og start det. I tekstfeltet skriver du C:\WINDOWS\system32\WIND0WS.exe (kopier evt. teksten og sæt ind) og klikker på "Kill File". Gentag proceduren med C:\WINDOWS\system32\updr32.exe Lav en global søgning på henholdsvis wind0ws.exe (bemærk at det er 0=nul og ikke o) og updr32.exe - du skulle gerne få en meddelelse om at de ikke findes. Hvis de stadig findes så gentag proceduren med KillBox. Kør en ny scanning med HJT og sæt flueben ved disse: O4 - HKLM..Run: [Microsoft Update Protocols] updr32.exe O4 - HKLM..Run: [WIND0WS] WIND0WS.exe O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe O4 - HKLM..RunServices: [Microsoft Update Protocols] updr32.exe O4 - HKLM..RunServices: [WIND0WS] WIND0WS.exe O4 - HKCU..Run: [Microsoft Update Protocols] updr32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”. Luk programmet og genstart maskinen. Kør en ny scanning med HJT og smid loggen herind til kontrol.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#8
sonderskov
Bruger Aspirant
12-09-2004 00:54

Rapporter til Admin

ok ha gjort som du sagde og den ser nu sådan ud. Er det hele ok nu?? Logfile of HijackThis v1.98.2 Scan saved at 00:57:04, on 12-09-2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32Ati2evxx.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:WINDOWSSOUNDMAN.EXE C:PROGRA~1GrisoftAVG6avgcc32.exe C:ProgrammerWinampwinampa.exe C:WINDOWSsystem32ctfmon.exe C:PROGRA~1GrisoftAVG6avgserv.exe C:Documents and SettingsAdministratorSkrivebordHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Hyperlinks O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM..Run: [AVG_CC] C:PROGRA~1GrisoftAVG6avgcc32.exe /STARTUP O4 - HKLM..Run: [WinampAgent] C:ProgrammerWinampwinampa.exe O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgrammerMessengermsmsgs.exe
--

#9
Armageddon
Moderator
12-09-2004 01:05

Rapporter til Admin

Meget fint - loggen er ren nu. Jeg vil anbefale dig at køre en online virusscanning for at sikre, at der ikke er rester eller snavs som ikke kan ses i loggen. http://housecall.trendmicro.com[...] Hent bagefter disse programmer og scan maskinen. Sørg for at opdatere programmerne online. Ad-aware http://www.lavasoft.de[...] SpyBot S&D http://www.safer-networking.org[...] Så skulle maskinen gerne være tip top fit for fight. Slut af med at aktivere systemgendannelse igen.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#10
sonderskov
Bruger Aspirant
12-09-2004 15:01

Rapporter til Admin

Vil gerne sige mange tak for hjælpen Armageddon. Ikke nok med at virusen nu er ude af systemet og jeg har fået renset com for diverse skjulte programmer, så har det også lige kløvet 10 sekunder af opstartstiden så den nu starter op på 31 sekunder og er fuld funktionsdygtig uden timeglaset kørende eller andre ikke initialiseret opstartsprogrammer. Mvh René
--
1.8 GHZ Dothan Processor 1024 MB DDR PC2700 ram Radeon 9700 128 MB ram 60 GB 7200 rpm

#11
Armageddon
Moderator
12-09-2004 15:35

Rapporter til Admin

Det var da så lidt. Jeg synes altid det er en fornøjelse når man kan hjælpe andre og de ovenikøbet bliver glad for hjælpen. Tak for rosen.
--
/Armageddon - [email protected] http://www.mdegn.dk[...]

#12
flash
Gæst
12-09-2004 18:21

Rapporter til Admin

du har nok vært hældig og få ranset compen måske men ellers prøv http://www.spywarefri.dk[...] eller http://www.eksperten.dk[...] der findes de rigtige eksperter som har forstand på den salgs.det måske sønd at sige men de har ik høje tanker om hol på det punkt
--
Gæstebruger, opret dit eget login og få din egen signatur.

#13
X-Man
Gæst
13-09-2004 02:54

Rapporter til Admin

Jeg har efterhånden set en masse tråde om virus, orme, spyware og alt det der, og jeg synes at der i langt de fleste tilfælde kommer meget professionelle svar som er til at forstå. Folk får løst deres problemer og renset deres maskiner, så HOL.dk har efter min mening ligeså dygtige eksperter som de andre steder, men de bliver bare aldrig anerkendt. Det kan godt være at man de andre steder ikke har høje tanker om HOL.dk, men det er da også lige meget sålænge brugerne får den rette hjælp her på siden. Hvis jeg på et tidspunkt skulle få spyware eller virus på computeren ville jeg uden betænkeligheder søge hjælp på HOL.dk
--
Gæstebruger, opret dit eget login og få din egen signatur.

#14
Rene Sønderskov Sørensen
Gæst
02-09-2006 17:46

Rapporter til Admin

Nå det er dig der har min hotmail adresse....lige en hilsen fra en navnebror Venlig hilsen René Sønderskov Sørensen
--
Gæstebruger, opret dit eget login og få din egen signatur.