Mere virus!

http://www.spywarefri.dk/onlinevark.htm
snup lige en scan med Panda online.

Det kommer an på virusprogrammet. Intet program finder alle. Pænt trælst. ;-)

/basementjack

http://securityresponse.symantec.com/avcenter/venc/data/w32.pinfi.html

Det samme program fandt virussen sidst!

"f-secure anti-virus" fjernede min Pirate.A da jeg havde fået den www.datafellows.com kan du se hvordan du spiller af med de fleste Vira

og sæt scanneren til at scanner sub folder etc.

Den der Panda scanner finder heller ik' noget... Selvom jeg vælge en enkelt mappe som jeg ved er en masse i!

Styresystem?
Er din HD Fat32 eller NTFS formateret?

Jeg har windows XP og kører NTFS-filsystem!

Øv.*S*
http://housecall.trendmicro.com/
Prøv den, husk at deaktivere din faste scanner, samt slå systemgendannelse fra.

Den finder stadig ik' NOGET!

Så tillader jeg mig at tvivle på der er noget.
3 forskellige scannere, alle 3 store og anerkendte finder ingen virus= der er ingen virus.

Jamen hvorfor er alle EXE-filer så kopieret?

ALLE EXE-filer: ***.exe, ***.RB0, ***.RB1, osv. Ligger i alle mapper med EXE filer!

...og det er nøjagtig det samme som sidst... Så jeg fatter det helle ik'!

Hvordan ved du du har denne virus? hvad har fået dig til at tro den er komme igen? Hvad sker der på din computer, som du ikke kan forstå og som gør du mistænker virus?

ØH! Læs beskeden over din!

Ja jeg så den bagefter jeg havde sendt. Ligger der to exe filer i hver mappe, jeg er ikke helt med på hvad du mener, forklar lidt mere detaljeret din mistanke. Eller skal vi forstå det sådan at samtlige .exe filer på din computer ligger i samtlige mapper?

Jeg tager er eksempel:

Filen C:\skod\tja.exe er blevet kopieret så der også ligge filer i samme mappe!
Filerne hedder istedet tja.RB0 og tja.RB1 osv.... og de fylder hver det samme som EXE-filen af samme navn!

Forstår du?

Det lyder virkelig underligt, især når de scannere siger ingen virus. Nu prøver vi lige noget helt andet.

Du skal installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du under værktøjer på Spywarefri. http://www.spywarefri.dk/vaerktoj.htm Direkte links:
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Når du har installeret Spybot, skal du som det første hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot, og fjerne alt det snavs, som det eventuelt finder.
Derefter skal du installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen, og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Så skal jeg kigge på din log - og fromsej kan også tyde de log. Er der heller ikke noget mistænkeligt i denne, ja så er vi på herrens mark, men prøv lige at smide en kopi af den herind.

er igang!

Det er sku' ik' skide godt det der program!

Det crasher når man trykker at den skal hente updates'ne!

Det er faktisk ret godt. det er måske overbelastet lige nu, så nøjes du bare med at hente og køre hijackthis, og smide loggen herind.

Logfile of HijackThis v1.97.2
Scan saved at 21:49:37, on 15-09-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\Fælles filer\CMEII\CMESys.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\Programmer\Real\RealJukebox\realjbox.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\WinRAR\WinRAR.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [CMESys] "C:\Programmer\Fælles filer\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GStartup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/danmark/TemplateGallery/msotd.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37872.2845949074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Der var loggen!

OK, jeg kan se dit snavs allerede, det tager lige mellem en halv og en hel time at tjekke den totalt, men vi får det væk.

...Aha! Hvilken slags snavs?

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra (hvis du kører med XP el. ME). Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - Global Startup: GStartup.lnk = ?
O4 - HKLM\..\Run: [CMESys] "C:\Programmer\Fælles filer\CMEII\CMESys.exe"
O16 - DPF: {53B3ABEA-4445-44D9-A01E-088144CAABD9} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/da/filesharingctrl.cab

Genstart nu din computer i fejlsikret tilstand og slet denne:

C:\Programmer\Fælles filer\CMEII\CMESys.exe

Du kan også fjerne denne fil uden at genstarte i fejlsikret tilstand. Vi har lige fundet et nyt genialt prg. som kan gøre det i almindelig visning. Du kan hente og læse om programmet her: http://www.spywarefri.dk/tipsogtricks.htm#dr.delete Manualen har jeg godt nok skrevet til den i dag, men vi har ikke nået at få den ind på siden endnu, men får du problemer så spørg endelig. Jeg tro nu godt du kan installere det og så kopiere denne linje ind som skal deletes.

Genstart nu almindeligt. (hvis du har været i fejlsikret tilstand)

Efter genstart skal du tage en ny scanning med HijackThis og ”smide” en ny log herind, så jeg kan kontrollere, at det hele er væk.

Logfile of HijackThis v1.97.2
Scan saved at 22:49:59, on 15-09-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programmer\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe
D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
D:\Programmer\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [pccguide.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmer\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/danmark/TemplateGallery/msotd.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37872.2845949074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Det var den nye log...

Jeg kunne egentlig godt tænkte mig at vide hvad jeg har gjort? og hvorfor jeg bare har slettet en EXE-fil bare så'n?

ARGH! PIs! Jeg glemte sku' at deaktivere systemgendannelse! Er det vigtigt?

www.pandasoftware.com/activescan

Systemgendannelse er meget meget vigtig, men du var heldig at intet af det jeg har fixet har gendannet sig. Og hvorfor du skulle slette .exe fil, jo det skal jeg sige dig det var gator du slettede der. Hvordan har din computer det, din log ser fin ren ud nu. Har du genstartet din computer, hvis du ikke har, så risikerer du stadig at det gendanner sig, så sørg lige for at deaktiver det nu hvis du ikke har prøvet at genstarte. I modsat fald må jeg have en ny log igen, men så bliver det nok først i morgen jeg kigger på den alt efter hvor hurtig du er.

Jeg genstartede efter at jeg havde været i fejlsikret tilstand...

...og min computer har det vist fint... Den kør som før! Fint noK!

Men virusprogrammet kan stadig ik' finde den virus!

...og jeg er altså ret sikker på at det er en virus!... Eller skal jeg bare til at slette alle de der filer (*.RB0, *.RB1, osv.)
manuelt?

http://www.computeruser.com/resources/dictionary/filetypes.html
Der er ikke nogle filer som bruger den endelse *.RBO - RB1 OSV. Så jeg vil sige at dem kan du rolig slette. Nu har du det link, så kan du selv se om der er andre at dine endelser som heller ikke hører til noget prg.

De der RB0, RB1 osv. kender jeg ganske udmærket. Det er backup fra din Pc-cillin. Har først set dit spørgsmål her til morgen.

Ja men så skulle din computer jo være helt i orden igen. Du kan lade de RBO RB1 filer blive liggende eller du kan slette dem hvis du vil, og det snavs som der var på din computer er også væk. Godt Perhaps kendte denne extension.

AH! Okay! Så er det nok bare mig der er en skovl... måske har jeg først opdaget filerne nu! Selvom jeg havde virus for 1 uge siden!

Jeg fandt også det her: http://kb.trendmicro.com/solutions/solutionDetail.asp?solutionID=15566

...og lige et sidste spørgsmål til aovergaard>> Den der .exe-fil jeg slettede som du sagde var gator... Kan jeg ik' også slette resten af mappen? Er det noget som bruges?

Ja hele den mappe hvor der lå Gator i skal væk, så slet du endelig bare den.

Okay! Tak for det... Mange tak for hjælpen!
Pointene er velfortjente :)

Velbekommen og tak for de point:)Det var da heldigt at du alligevel kom med din log når der lå rester i den af virus, og godt at de RB filer blev opklaret.