On-line virus scan går ned

Prøv med f-prot antivirus som kører i dos: http://www.avirus.dk/avirus.htm

Tak for det, jeg er lige i tlf. og er ved at guide en af mine kollegaer til at hente og scanne med den, jeg har selv ferie og er ikke på stedet i dag.

Jeg vender tilbage når han er færdig med at scanne.

Hvilken onlinescanner bruger du ? hvis housecalle kan den godt gå ned når der er virus.

Prøv http://www.pandasoftware.com/activescan/ den har jeg endnu ikke oplevet er gået ned, eller som jakobclausen siger pøv f-prot som starter ude fra dos, det kræver dog at det er fat, har du NTFS virker f-prot desværre ikke.

Et rigtig godt prg. mod spyware er Aluria. Det er nok det bedste på markedet pt. hvis det skal fjerne spy kræver det dog at du køber programmet. Du kan læse om det her: http://www.spywarefri.dk/vaerktoj.htm#02.05.2003

du kan også tjekke mod spy her: http://www.doxdesk.com/parasite/
- Foroven på siden hvor der står detection script skal der stå none were found.

jeg har prøvet panda, den går ned under scanning

det er win 98 på fat 32, så vi er ved at hente F-prot, han er ligenu ved at lave disk 2

men hvis det blot er spyware, vil en virus-scan ikke finde noget
prøv ad-aware istedet..O)

Spybot er bedre end Ad-aware og den bedste er som sagt Aluria. Alle findes under værktøjer på spywarefri.dk

har prøvet adaware, men ro på nu - skal lige have den scannet med f-prot, så jeg er sikker på der ikke er mere virus :)

Vi skal nok tage det roligt, men som bartfreak også siger, så fjerner antivirus prg. ikke spyware, lidt gør de man hvis du vil fjerne spy skal det være med spywareprg. Og som du selv skriver i din indledning er det ikke virus du har men spy.

Jeg har ikke hørt fra min kollega endnu.
M.h.t. spyware går adaware også ned når den skal fjerne det spy den har fundet.

Som jeg er blevet forklaret er der sket dette:
Der er under søgning på internettet kommet en promt som en kollega har svaret "ja" til. Derefter er der begyndt at poppe en masse casino popups op samt andre reklame popups. Computeren begynder senere at fryse og komme med forsk. blå skærme. Jeg kommer derud og kører adaware som finder over 100 spyware, herunder et som defineres som decideret hackerværktøj (formodentligt det som kollegaen installerede) Adaware går ned når den skal fjerne, Norton antivirus går ned når den scanner - ligeså on-line scanner.

Jeg kørte som sagt en Ghost backup over vores C-drev og slettede master boot.
Provlemerne med adaware og onlivevirusscan er stadig de samme, som om de kommer til en bestemt fil de vil arbejde med og går ned. Om det så er virus, spyware eller hvad kan jeg ikke sige, men jeg formoder det er en variant af et backdoor program som er installeret første gang der blev problemer og som stadig ligger og roder et eller andet sted. Men da jeg har overskrevet både c-drevet og mbr, er der næsten kun boot tilbage?

Giver det mening?

Ja det giver mening. Du er højst sandsynligt blevet hijacked det tyder alle disse popups på. Hent programmet HijackThis her http://www.lurkhere.com/~nicefiles
og læs den danske instruktion til programmet her http://www.spywarefri.dk/vaerktoj.htm#18

Når du har installeret programmet, skal du køre denne scanning og gemme en logfil. Kopiere denne log og smid en kopi herind, så skal jeg kigge på den.

jakobclausen >> min kollega ringede lige og fortæller at F-prot stadig scanner, dvs. i ca. 1 time - kan det virkelig passe? Jeg husker der er ca 60.000 filer på pc'en?

aovergård >> det vil vi gøre så snart vi er færdige med F-prot, pc,en er jo i dos ligenu....

Ja det tager rigtig lang tid at scanne med f-prot. Og ok

http://www.spywareinfo.org/startup_pages/startup_full.htm#R

KAn være en hjælp, hvis man manuelt skal fjerne tvilsome  *.exe´r

Ok - tak.
Jeg venter bare på at han ringer så - håber I har god tålmodighed m.h.t pointene. Jeg ved de har travlt i dag, så han går nok lidt til og fra.

reklamefridk >> Det lyder umiddelbart af lidt lang tid, men alligevel. Hvis der er problemer med maskinen kan det jo godt tage lidt tid at reparare den.

den er færdig nu og melder nul virus, vi er i gang med at søge med hijack tingen

her er loggen fra Highjack This:

Logfile of HijackThis v1.95.0
Scan saved at 12:35:13, on 02-07-03
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\TABLET.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\BLSTAPP.EXE
C:\WINDOWS\STARTER.EXE
C:\SCANJET\PRECISIONSCANLT\HPPWRSAV.EXE
C:\PROGRAMMER\FæLLES FILER\SCM\LEDTRAY.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\ZIPITFAST2\ZIPITFAST.EXE
C:\WINDOWS\TEMP\ZTV10A4\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer,Default_Search_URL=http://www.searchnow.ws/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.ni.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://drvvv.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Husk at logge af når du er færdig!!!
O1 - Hosts: 140.99.106.182 auto.search.msn.com
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [BlstApp] C:\WINDOWS\SYSTEM\BLSTAPP.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [LEDTRAY] C:\PROGRA~1\FÆLLES~1\SCM\LEDTRAY.EXE
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMMER\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [BCDetect] C:\WINDOWS\SYSTEM\BCDetect.exe defer
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tablet] C:\WINDOWS\SYSTEM\Tablet.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Felix] C:\Program Files\ScreenMates\LUDO.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://209.25.173.4/php/scott10/scott10.php
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/20000128/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37803.2835300926

Disse skal fixes. Alle prg. skal være lukket mens du fixer, også browseren.
O1 - Hosts: 140.99.106.182 auto.search.msn.com
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL


Denne behøver ikke ligge i start men det er op til dig selv om du vil fjerne den herfra.
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
Hvis du vil fjerne den fra start så gør flg.
Start
Kør
Skriv: msconfig
Ok
Fanebladet start
Find den og fjern vingen ud for den.

Jeg kigger videre, men det tager noget tid at gå gennem sådan en logfil.

Ok - jeg skal lige i kontakt med min kollega, han er i gang med at prøve on-line scan igen for at se om den vil gennemføre nu.

Forøvrigt har jeg fundet frem til at det der blev downloadet fra starten var noget spyware kaldet nCase. Ved forsøg på at slette det blev det "hængende" i papirkurven. Men da jeg har overskrevet med en ghost burde det være væk nu.

Desværre er sidste melding at de andre computere i netværket er begyndt at få problemer med at starte op, så jeg har bedt dem om at lukke netværket helt ned så kun den ene pc vi arbejder med at rense nu er på Internettet.

Kan den "No-name" gør at vi har en "gæst" på udefra som vedbliver at drille og skabe nye problemer???

O4 - HKLM\..\Run: [LEDTRAY] C:\PROGRA~1\FÆLLES~1\SCM\LEDTRAY.EXE
Behøver ikke ligge I start, det er til dit usb kort

O4 - HKLM\..\Run: [LoadQM] loadqm.exe
Behøver ikke ligge I start, kun hvis du får problemer med messenger så aktiver den igen

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
Behøver ikke ligge I start

Hvad er dette O4 - HKCU\..\Run: [Felix] C:\Program Files\ScreenMates\LUDO.EXE Jeg kan intet finde om det og hvis du ikke ved hvad det er skal det fixes.

Fortsættelse følger.

Den sidste, screenmates, undrer også mig en del, det lyder som et af de der pauseskærme som henter nye ting hjem en gang om ugen, men det undrer mig meget at den er med, da jeg jo ghoster tilbage til en forholdsvis ren installation.

Men jeg er da ved at finde af at nogle henter mere hjem uden min viden end vi lige har aftalt, så jeg må vist af med et par skideballer :)
Det er ikke nemt at vedligholde et netværk hvis folk ikke informere om hvad de laver.

Et lille spørgsmål til - kan det tænkes at en af de andre computere i netværket er inficeret af noget nu, som er i stand til at reetablere fejlene på de maskiner som er rensede?

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
Kender du selv noget til denne ellers fix den

O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://209.25.173.4/php/scott10/scott10.php
Denne lyder også mystisk er det noget du kender til, eller skal den fixes.

Ja det kan desværre godt tænkes. Meget skidt angriber desværre netværk og inficere samtlige maskiner lidt efer lidt. Jeg er da bange for at der er en gang rengøring af alle makiner som skal sættes igang.

Resten burde være ok, men det går jo helt galt igen hvis der er andre på netværket med snavs.

Ja, det lyder efterhånden temmelig seriøst. En maskine har af mærkværdige årsager fået et password under opstart, helt ude i dos, altså før windows starter op. Den er helt ude af drift. En anden maskine kan nu kun starte i fejlsikret, her kan vi se at alle IRQ er nulstillet, bios vil ikke loade default, efter genstart er alt nulstillet igen og blå skærm.

De 2 sidste maskIner kører endnu.

Det bliver for omfattende at arbejde videre med her fordi jeg er kun er i telefonisk kontakt med mine kollegaer, som har meget begrænset kendskab til computere generelt. Jeg tror dog den første maskine er ved at være rask nu, han siger den mangler ca. 1/3 af online virusscan og er kommet forbi det punkt hvor den plejer at stoppe.

Jeg vil afslutte spørgsmålet og sige rigtig mange tak for hjælpen. De har nu fået forbud mod at bruge netværket til jeg er tilbage igen, og må nøjes med den maskine som vi har renset. Jeg er bange for at problemet ellers bliver for omfatende, hvis det da ikke allerede er det.

Jeg vil så gemme denne tråd og følge jeres vejledninger på de andre maskiner. Opretter dog en ny tråd til den tid hvis loggen fra Hi jack scan ser helt håbløs ud - så håber jeg I er klar igen til den tid :)

Tak for nu!

mvh  Thomas

Jeg har lige fundet lidt mere ud fra det øverste i din logfil

C:\WINDOWS\SOINTGR.EXE
Installer og kør Spybot, den kan finde og fjerne denne.

Og så skal denne jo selvfølgelig fixes.
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE

Takker for point!

Takker for point, og held og lykke. Ellers må du jo komme igen.

Det vil jeg gøre, jeg får dem til at køre både adaware, spybot og lokal + online virus scan som det sidste før de får lov at bruge den pc igen. Godt nok er der ikke ligefrem forretningshemmeligheder på den, men dog personfølsomme oplysninger, så den skulle gerne gå helt fri af spyware. Så snart jeg er tilbage må jeg have opgraderet sikkerheden, koste hvad det vil.
Kunne jeg som det sidste bede om et par forslag til hvad jeg skal købe, jeg opretter naturligvis gerne en ny tråd til det!

Firewall på alle et godt bud bitguard http://www.tryus.dk/start.asp
Antivirus på alle maskiner. Personlig har jeg aldrig haft problemer med Norton
Onlinescanne ind immellem
Gå på spywarefri.dk under værktøjer ligge en masse prg.
Disse er rigtig gode at have på, konflikter ikke med hinanden, fylder ingenting, og er særdeles effektive, så du kan sove roligt.
Spybot
Spywareblaster
Browser Hijack Blaster
SpywareGuard

Evt.
Startup Monitor
http://www.danish-shareware.dk/soft/emptemp/ Emty temp folder god mod cookies

Tak, vi har Norton Antivirus, men godt nok kun den version som man får sammen med Adsl fra TDC, men det vigtigste er vel at den kan opdateres automatisk.

Jeg vil foreslå dem at vi køber Bitguard, den ser god ud og jeg vil hente resten af de free-ware programmer du foreslår.

Igen mange tak for hjælpen, jeg er spændt på hvordan situationen ser ud når jeg møder ind igen, måske jeg vender frygtelig tilbage...

Når du nu gerne vil betale syntes jeg at du skal købe disse:

Aluria som spywarescanner og TrojanHunter som trojanscanner
Glem endelige ikke SpywareGuard som jo tilmed er free.

og jeg kan lige tilføje at BitGuard som du nævner er kanon. Koster ikke meget, men er meget effektiv. Når den først er installeret mærker du ikke mere til den. Kan varmt anbefale den. Og så tag de programmer aovergaard nævner. Jeg har den bedste erfaring med dem. TrojanHunter som trojanscanner koster, men er verdens bedste.