trojan

[thetrain]

Hallo Pieter,
Net terug van vakantie. Mijn abonnement van Norton verlengd en direct een trojan op de PC die Norton niet kan verwijderen. OOk Ad Aware, CW schredder biedt geen soelaas.
Hyjack this geeft ook geen rare regels.
Het gaat om een backdoor.trojan
Deze staat volgens Norton in System32/kbdoj.dll
Hoe krijg ik deze trojan weg?
Make me smile.
Groet,
Cor (thetrain)

 

[buffy]

Ik zou toch graag je HijackThis-log even willen zien. Dat kun je plaatsen in het centrale topic daarvoor: http://www.helpmij.nl/forum/showthread.php?threadid=169370

Heb je trouwens ook last van ongewenste start-/zoekpagina's?

 

[buffy]

Hallo Thetrain,

In je log is niets te zien. Die ongewenste pagina, is dat iets van real-yellowpage.com, drxcount.biz, list2004.com, linklist.cc of iets dergelijks? Zo ja, dan heb je een CWS-variant te pakken die niet in HijackThis-logs te zien is en waartegen CWShredder niet is opgewassen. Kijk in dat geval of je iets kunt met de verwijderinstructies uit het tweede bericht op de volgende pagina: http://www.wilderssecurity.com/showthread.php?t=28658


Groetjes,

Buffy

 

[thetrain]

backdoor.trojan

log is schoon en is gecheckt met Hyack this.
Heb nog steeds last van de backdoor.trojan met bestand kbdoj.dll in kleine en hoofdletters.
Norton kan bestand niet herstellen en toegang geweigerd.
CW Schredder, ad aware etc. kennen deze trojan niet.
Wie helpt mij van dit af? Pieter bijv?
mvg,
Cor Wijker (thetrain)

 

[crash]

Heb je geprobeerd het betreffende bestand in veilige modus te verwijderen?

 

[thetrain]

Zie het bestand niet, ook niet als ik de verborgen bestanden laat zien!!!
bestand zou moeten staan in de map system32, maar helaas!

 

[buffy]

Hallo TheTrain,

mijn vorige bericht nog niet gelezen? Ik verwees je daar al naar de verwijderinstructies voor "drxcount.biz / real-yellow-page.com", een CWS-variant die niet in HijackThis-logs te zien is en die niet door CWShredder wordt verwijderd: http://www.wilderssecurity.com/showthread.php?t=28658 < het tweede bericht aldaar, de verwijderinstructies staan in de quote. Volg die instructies eens op.

Groetjes,

Buffy

 

[thetrain]

Lukt mij helaas niet.
pagina's niet te openen!?

 

[H@ns]

Mij wel, ik heb ze even voor je gekopierd:

If your browser has been hijacked to drxcount.biz, real-yellow-page.com or list2004.com:
We are working on a fix for this one and drawing near to a solution. This is by far the most sophisticated CWS variant seen to date, and it will take some time before CWShredder will be able to remove it automatically.

So far, the following manual fix should work:

Download PrcView here: http://www.spywareinfo.com/~merijn/files/pv.zip ,unzip it to the desktop.

Be sure to have at least 1 Internet Explorer window open, then double click on the runme.bat.

Notepad will open with a log in it. Look for a line with this file, size and beginning to it.
The filename will always be different:
winajbm.dll 61c00000 61440 c:\windows\system32\winajbm.dll

This part indicates the bad file:
61c00000 61440
It will always start with that header.

Write down the filename behind it.

Now download KillBox:
http://download.broadbandmedic.com/VbStuff/KillBox.zip

Unzip and run it.

Don't click any of the buttons though, instead please click on the Action menu and choose "Delete on Reboot".

On the next screen, click on the File menu and choose "Add File". The file you copied earlier should now show up in the window. If that's successful, choose the Action menu and select "Process and Reboot". You'll be prompted to reboot, do so.

After rebooting, make sure the file is gone



--------------------------------------------------------------------------------

 

[buffy]

PrcView download: http://www.spywareinfo.com/~merijn/files/pv.zip

(Hans, bij jou zit een komma in de weg. )

Maar bovenstaande werkt vaak niet. Alternatieve link: http://www.zerosrealm.com/downloads/pv.zip

 

[H@ns]

Kzie het, zal het even editen

 

[thetrain]

Helaas geen regel die begint met 61c00000 61440!
En nu?
Wie kan mij verder helpen of heeft een pasklare oplossing. Ik wordt gek van die Norton meldingen.
Soms wel 20 x of meer!

 

[buffy]

Een poging:


Download en installeer APM (Advanced Process Manipulation): http://www.diamondcs.com.au/index.php?page=apm

Selecteer in het bovenste venster explorer.exe.

Zoek in het onderste venster naar kbdoj.dll.
Rechtklik daarop en kies voor unload dll. Klik bij de meldingen die je daarna nog krijgt steeds "OK".

Hopelijk werkt het.


Groetjes,

Buffy

 

[thetrain]

Het bestand staat er helaas niet tussen!?
Komt dit door Norton?

 

[buffy]

Geplaatst door thetrain
Het bestand staat er helaas niet tussen!?
Komt dit door Norton?

Nee, dat komt niet door Norton. Ik had het eigenlijk wel verwacht, maar het viel te proberen.

Ik denk en zoek verder, maar het kan even duren.

 

[buffy]

Nog een poging:


Mocht Norton tijdens deze procedure waarschuwingen gaan geven over een script dat wordt uitgevoerd, geef dan toestemming dat dit script uitgevoerd mag worden.


1. Lees dit alvast door, je hebt deze kennis straks nodig: eigenaar worden van een bestand of map. Print het eventueel uit, zodat je straks bij stap 6 weet wat je moet doen (want je hebt op dat moment geen internetverbinding en mag dat dan ook niet maken, dus je kunt het dan niet even weer opzoeken.)

2. Download hiving.bat.
Unzip dit naar je bureaublad. (Via rechtklikken -> Winzip -> "Extract to" en dan je bureaublad kiezen. Of met WinRar via "Extract to". Dit is echt belangrijk hoor, dus NIET uit de gezipte map draaien.)

3. VERBREEK DE INTERNETVERBINDING en maak pas opnieuw verbinding als je deze procedure helemaal hebt doorlopen!

Let op: misschien is het handig deze instructies even uit te printen, want je kunt gedurende deze procedure niet meer even terug naar Helpmij gaan om het op te zoeken - want je mag pas weer internetverbinding maken als je klaar bent.

Let op #2: heb je een internetverbinding die automatisch gemaakt wordt als je je computer opstart, zorg dan dat dat wordt uitgeschakeld (desnoods door de eventuele stekker van je modem eruit te trekken).

4. Open de "Hiving" map die nu op je bureaublad staat. Je vindt daarin een bestand dat "hiving.bat" heet.

Dubbelklik op "hiving.bat".

5. Herstart de computer.

(Norton geeft waarschijnlijk een waarschuwing over een script dat wordt uitgevoerd. Geef dat toestemming!)

6. Zoek nu naar het bestand kbdoj.dll. (Dat in C:\WINDOWS\System32 zou moeten staan.) (Mogelijkerwijs is het nodig dat in de Verkenner, via Extra -> Mapopties -> Weergave, is aangegeven dat beveiligde besturingssysteembestanden niet verborgen worden en dat verborgen bestanden en mappen wel worden weergegeven.) Maak jezelf eigenaar van dit bestand (je hebt al gelezen hoe dat moet). Probeer het bestand te deleten. Lukt dat niet, hernoem het dan tot nokbdoj.txt en verwijder het dan. Luk het niet, probeer dan nog wat hernoemingen (bijvoorbeeld de extensie veranderen in 111 of iets dergelijks) en probeer het dan.

7. Leeg je tijdelijke internetbestanden, in IE via Extra -> Internet-opties -> Algemeen -> Bestanden verwijderen (zet ook een vinkje bij "Ook alle off-line items verwijderen").

8. Ga naar Start -> Zoeken -> Alle bestanden en mappen, zoek op *.tmp en verwijder alles wat gevonden wordt. Kijk daarna voor de zekerheid of er nog iets staat in de map C:\WINDOWS\Temp en, zo ja, leeg die map. (Niet de map zelf weggooien dus maar alles wat erin staat wel.)

9. Leeg de prullenbak.

10. Herstart de pc. Nu mag je weer internetverbinding maken.


Groetjes,

Buffy

 

[thetrain]

heb jou raad geprobeerd op te volgen.
kon hiving.bat wel uitpakken op bureublad en openen, maar gaf de melding dat de key o.i.d niet kon worden gevonden.
Internet uitgeschakeld en opnieuw opgestart. Geen melding meer tot nu toe van norton inz. de Trojan. Toeval of is ie nu echt weg?
Ik kon dus alle punten niet uitvoeren, maar het lijkt opgelost.
groet,
Cor