worm_spybot.gen

Hentede et alternativ til joblisten, og filen .scr heddeer wincfg.scr

Okay.. det er den der laver rod. Med alternativet lukkede jeg for wincfg.scr, og ny virker regedit/joblisten osv....

OK men hvordan går det så med din virus har du fået den væk eller skal du have hjælp

Finder jo den WORM_SPYBOT.GEN hele tiden når jeg starter housecall.
Prøver lige og se hvad trends database siger.

Hmm. Mærkeligt. Det er den her: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.GEN
Der står:
"Removing Malware Entries from the Registry

Still in the Registry Editor, double-click the following:
HKEY_CURRENT_USER>Software>Kazaa>LocalContent
In the right panel, locate and delete this entry:
Dir0 = 012345:%System% \kazaabackupfiles
(Note: %System% refers to the Windows System folder which is usually the folder C:\Windows\System, C:\Winnt\System32 or C:\Windows\System32.)
Close Registry Editor."

Men har aldig haft kazaa inde. Nogen idé til hvor den ellers vil lægge sig så?

Prøv at gå ud på spywarefri og hente hijackthis. Der er lige kommet en helt ny udgave. Du kan smide loggen herind. Er oppe lidt endnu.

Det lyder underligt at du aldrig har haft kazaa inde og de skriver den kommer derfra. Det var også det link jeg havde fundet til dig, men det blev du jo ikke klogere på. Du ved godt at du skal gå ind under værktøjer på spywarefri.dk for at hente hijackthis ikke.

Kender den godt. Det er bare år siden jeg har haft virus, og aldrig en der lukkede ned for diverse ting i windows. Så jeg panikkede lidt.
Men her fra hijack:
Logfile of HijackThis v1.96.0
Scan saved at 02:57:32, on 05-08-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programmer\Motherboard Monitor 5\MBM5.EXE
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\CursorXP\CursorXP.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\Norton Internet Security\ccPxySvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Chalde-\Skrivebord\Ny mappe (2)\sysclean.com
C:\Documents and Settings\Chalde-\Skrivebord\Ny mappe (2)\sysclean.exe
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\Chalde-\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MBM 5] "C:\Programmer\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Programmer\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/0251f502ac7d00/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37761.3555671296
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {FAC462CF-7E63-4042-8620-312D71652326} - http://81.19.245.211/speedtest/SpeedTest_2.cab

Ser ikke ud til at være noget. Speedtest er fra tdc.

Et spørgsmål: Hvordan slap wincfg.scr forbi norton internet security (opdaterede den i morges) Er begyndt at tvivle lidt på norton.

Kiggede lidt rundt på nettet, og det tyder på at wincfg.scr er kommet gennem mirc.
Men nu har jeg et stort problem. Hvor har den gemt sig? Slettede jo den første, men den skulle eftersigende kopiere sig til c:\windows\
Men der er den ikke (har aktiveret visning af skjulte filer, samt deaktiveret skjul beskyttede os filer)
Har søgt computer igennem uden resultat. Den må da være der et sted, da den jo har været åben efter jeg slettede den første.

Det lyder også underligt når du lige har opdateret, men det kan være at den er så ny at de ikke har nået at opdatere. Så vidt jeg har bemærket er det ikke hver dag de opdaterer.

Og du har ret din log ser pæn nok ud, der ligger ikke rigtig noget. De fleste steder Internationalt råder de dog folk til at fixe denne:
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37761.3555671296

Du har så et par ting i den opstart som du sagtens kan undvære, og kan fjerne fra msconfig:
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

Jeg leder lige systematisk videre for at se om den ligger der hvor man ikke troede.

Fandt svinet: c:\windows\system32 (hidden)

Havde ikke fået slukket for de 2, tak for reminderen. (har rodet lidt rundt med et par nvidia drivere)

wincfg.scr er en trojaner.

og den florerer på mirc og newsgroups lige for at nævne det.

Godt du fandt den. Man kunne heller ikke finde den i din log. De er blevet gode til at skjule deres utøj ;(

Loggen var efter.

Giver lige en beskrivelse:
1)hent process explorer http://www.sysinternals.com/ntw2k/freeware/procexp.shtml og kill wincfg.scr
2)åben regedit og søg på wincfg.scr og slet alle entries
3)gå til c:\*windir*\system32 og slet wincfg.scr
4)åben msconfig og tjek at winsock2 ikke er tilstede under start(ellers slet)

Nu mangler jeg bare og se om den er helt væk.

ind til videre takker.

Men tro mig. Der røg lige 5 smøger på en times tid. Damn en gang panik jeg fik der.

O4 - HKCU\..\Run: [CursorXP] "C:\Programmer\CursorXP\CursorXP.exe" -s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

Dem her kan du jo også overveje at skippe i din start.

cursorxp er min musemarkør :-)
nerocheck... damn ahead.. ka de ikke undlade at indsætte den efter hver install hehe.
Og tak for de andre tips.

Fandt lige det her på nettet: "Wincfg.scr is an
executable file and it is usually connected to worm called SpyBot.gen"

Ja når det er en selv det går ud over panikker man, er det andre er man helt rolig. Jeg ville have det akurat lige som dig hvis det havde været mig selv som fik den. Tak for dine oplysninger, dem kan vi jo altid bruge. Helt dejligt at være med til at "hjælpe" en der selv er så aktiv;)

Kender godt det der med og være rolig.
Folk har f.eks lige mistet halvdelen af deres disk, og roligt forklarer man dem hvad der kan gøres, mens de sidder bidder fingre til blods, og man tænker "det sker aldrig for mig", men en gang skal jo være den første. :-)
Vender tilbage med points når jeg har tjekket om den er helt væk.

Jeg havde læst om din mus, men den bliver ikke anbefalet at ligge i start. Jeg læste efterfølgende om den her: http://www.stardock.com/products/cursorxp/ og det ser jo spændende ud, men har du virkelig brug for at den ligger i din start?
Point, du gjorde jo selv det meste, og nu kan det vist ikke vare længe inden vi skal se dyner. Nu kan du jo godt falde i søvn efter denne omgang.

Mener den skal ligge i start, men har faktisk ikke prøvet uden.
Den er to versioner. Den ene er gratis, så hvis du ka lide dem, go for it (giver lidt extra krydderi på en nørds tilværelse)
Men du har da fortjent point for dine tips, så 50/50 da jeg selv fandt ud af at komme af med wincfg.scr
Nu vil jeg også se at komme i seng. Damn. Ska snart på arbejde :-(
Tusind tak for supporten. Ku nok ikke ha holdt mig vågen uden dig :-) Og tak for tipsne.
Og godnat. Dynetid.

Velbekommen jeg takker også for point, og det er ikke engang løgn, det er rart ikke at føle sig helt alene ;) Godnat