w32/sdbot.worm.gen kan ikke fjernes.

http://sikkerhed.tdconline.dk/artikel.php?id=52986

Jeg kører Windows 2000

Har også set den omtalt som w32.randex.Q

Er din PC opdateret med servicepack 4 og diverse fra microsoft, hvad hedder din faste virusscanner og er den fuldt opdateret?

kentm >> Hvad har det med denne virus at gøre?

Min computer er fuldt opdateret, jeg køre ikke nogen virusscanner.

Stinger finder den og fjerner den! Men åbenbart ikke helt.

Ingen virusscanner, så kan det da ikke undre dig at du bliver ved med at få vira.
Hent f.eks AVG, den er god, automatisk opdateret, og gratis.
http://www.grisoft.com/us/us_dwnl7.php

Prøv at skanne med Panda online: http://www.pandasoftware.com/activescan/com/default.asp?language=2&Country=63&Partner=1&Ref=PR-AS-107

Bagefter, så gør som fromsej anbefaler :-)

Nu er det første gang jeg har en virus. Jeg skal vide hvordan man fjerner den.

Panda online fandt den også, men har heller ikke kunne fjerne den!

kiggede vist ikke helt efter  ;-) har du haft lukket de 7 nye huller microsoft har "fundet" ? med en windoes

Jeg har nyeste opdatering.

altså du har opdateret den idag ?

De eneste opdateringer jeg mangler, har ikke noget med sikkerheden at gøre.

Nu har jeg lige kørt Panda online + http://housecall.trendmicro.com online og virussen er der stadigvæk når jeg restarter. Er det mon en ny variant som de endnu ikke kan fjerne?

Panda online finder ingen ting, hvorimod http://housecall.trendmicro.com finder den.

Prøv at hente og installere AVG, som fromsej anbefaler:
http://www.grisoft.com/us/us_dwnl7.php

du skal  og huske lige at:

.
Right-click the My Computer icon on the desktop and click Properties.
Click the System Restore tab.
Select Turn off System Restore.
Click Apply > Yes > OK.

så kør du stinger for at fjerne den worm


http://vil.nai.com/vil/stinger/

så skal du huske at:
Re-enable System Restore by clearing Turn off System Restore.

så kommer den ikke tilbage..

rigtigmmk>> Det er vist kun XP + ME.

Jeg har dålig erfarigner med AVG. Desuden burder panda eller houscall vel nok kunne fjerne den!

sorry det har ikke set efter..

Her kan du finde forskellige antivirusprogrammer :

http://www.spywarefri.dk/virus.htm#virusscannere

har du prøvet den link:

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100454

helt nede i siden er deren knap remove klik på den så laver den online remove..

Jeg har ikke lyst til at genneprøve hele markets anti.virus  programmer. Jeg vil af med denne virus.

rigtigmmk >> Jeg kan ikke finde remove linket.. ?

Hvad står ipc$, og admin$ fra følgende script?

net share ipc$ /delete
net share admin$ /delete

Taget fra http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100454 i bunden.

Så længe du ikke installerer en virusscanner kommer du ikke af med virus, og lykkes det kommer de lige så hurtigt igen.

fromsej >> Jeg har aldrig haft virus før. Havde et share stående åben i en halv time ved en fejl, og fik der igennem en virus. Min fejl. Jeg har allerde prøvet tre virus sacnner online, som ikke fjerner dem, og så vidt jeg forstår fjerner de det samme som det installerede software. Hvorfor skulle jeg så installere AVG, (som før har fået min computer til at gå ned) når de andre ikke kan fjene den?

http://www.spywarefri.dk/vaerktoj.htm#hijackthis

udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger fromsej på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Logfile of HijackThis v1.97.3
Scan saved at 11:10:35, on 17-10-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\ZONEAL~1.EXE
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\STIGCH~2.STI\LOCALS~1\Temp\Rar$EX00.942\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MusIRC (irc.musirc.com) client] musirc4.71.exe
O4 - HKLM\..\Run: [dev1] c:\winnt\system32\maze\tool.exe
O4 - HKLM\..\RunServices: [MusIRC (irc.musirc.com) client] musirc4.71.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/0fb5e03023def1/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hvis du har dårlige erfaringer med AVG, så prøv avast, den er rigtig god.
http://www.avast.com/i_kat_6.html

rigtigmmk>>Skal jeg tjekke log, eller vil du?

du gør jeg sidder på en anden spm.
tak

fromsej:
og du have mere erfaring end mig med det.
you are the boss.

OK.
Kør Hijackthis igen,scan og sæt flueben ved de linier jeg har listet nedenunder, luk alle åbne vinduer, undtaget hijackthis og klik på Fix checked.
Genstart i fejlsikker og brug Start=>søg til at se om musirc4.71.exe ligger på din PC, hvis den gør slet den.
Genstart og lav en ny log, så vi kan se det er væk.

O4 - HKLM\..\Run: [MusIRC (irc.musirc.com) client] musirc4.71.exe
O4 - HKLM\..\RunServices: [MusIRC (irc.musirc.com) client] musirc4.71.exe

Den har så fjernet dem nu. Problemet er bare at jeg fjernede dem allerede i går, manuelt. De kom igen!

Og det bliver de ved med, indtil du installerer en ordentlig virusscanner.

fromsej >> Fromsej, så må du forklare mig hvor det kommer fra!

"O4 - HKLM\..\Run: [dev1] c:\winnt\system32\maze\tool.exe" er vist også noget snavs.

Det jeg mener, hvis hijack, panda online, stigner etc. fjerner det, så gør de det jo åbenbart ikke godt nok! Der må stadigvæk ligge noget tilbage!

Hvis det ikke er noget du selv har installeret, så er det nok noget snavs, det eneste jeg har kunne finde på Tool.exe leder hen mod bootvis.

Hvad ligger der ellers i mappen c:\winnt\system32\maze ?

Hmm der ligger bla. en .bat file som jeg kan se prøver at logge ind med en række almindelige brugte password. Vil du have en kopi inden jeg slette mappen?
Underligt, jeg kan ikke finde noget på internettet om den virus.

Ja, det vil jeg gerne, pak indholdet af mappen med winzip, og send det til from09sej@webspeed.dk

Maze havde også registrerignsnølger med navnet mirc i sig. De er slettet nu, og det ser ud som om jeg er virus fri!

Lyder godt.*S*

fromsej >> Skriv hvis du finder ud af noget om Maze. Jeg har sendt den.
Og jeg lover aldrig mere at share mine drevs imens jeg er på internettet! :)

Nu har jeg lige leget lidt med filerne, de er smaskfyldte med trojanere, og andet utøj.
Passer det her tidspunkt med at du kan være blevet ramt?
%infecttime Wednesday 15/10/2003 13:09:25

Din IP: local=130.228.xxx.xxx.ip.tele2adsl.dk
Jeg har xét de 6 sidste cifre.
Plus det løse, grimt, ikke?

Det passer fint. Sjovt at man ikke kan finde noget på internettet. Man burde kunne søge på "maze/tool.exe". Underligt er det også at anti virus software heller ikke fandt den. den må være meget ny!

Prøv også at se x.bak som er fyldt med 10.000 mulige brugernavne...

Ja, det er noget snavs, AVG forhindrer mig i at åbne Xcar.bat, så jeg smider den lige over på en DOS maskine

den fil prøver at logge ind på andre åbne computere.

Ja, føj det er grimt.
Men AVG fangede dem her hos mig, så måske burde du alligevel installere en fast scanner, prøv Avast som jeg linkede til højere oppe.
http://www.misec.net/trojanhunter/
Prøv Trojanhunter, for at få scannet hele din PC for trojanere, du kan hente en 30 dages trial.
Den skulle være en af de allerbedste til jobbet.

Tak for point.*S*

Den fandt ikke noget. :) Heller ikke Maze folderen som jeg havde liggende på skrivebordet. :(

Hmm, jeg får lige Aovergaard til at kigge forbi.

Nu går den måske ikke under kategorien trojan. Jeg forstår heller ikke hvorfor man deler det op i vira og trojaner. Hvorfor ikke det hele under en kam?

Må jeg ikke godt lige se en ny log

Virus: Program eller makro med evne til at kopiere og dermed sprede sig selv, typisk via e-mail. Ofte kan de foresage skade på de computere de rammer.

Trojansk hest: Opkaldt efter den berømte store, hule træhest, som grækerne brugte, da de besejrede Troja efter mange års belejring. Grækerne fyldte den med mænd, og placerede den uden for Trojas mure. Derefter fik de det til at se ud som om, de havde givet op og var på vej hjem.
Trojanerne lod sig narre, og troede at hesten var en gave. De førte den derfor inden for bymurerne, hvorefter de holdt fest. Om natten sneg de græske soldater, der gemte sig i hesten, sig ud og åbnede Trojas porte, hvorefter deres græske kammerater kunne komme ind.
En trojansk hest, eller en trojaner, på en computer, er et program, som hackere kan bruge til at få adgang til din computer.

Jeg har jo nok ikke mere på min computer, men her har du den:

Logfile of HijackThis v1.97.3
Scan saved at 15:32:44, on 17-10-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\BitTorrent\btdownloadgui.exe
C:\Program Files\CoolPlayer\coolplayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\STIGCH~2.STI\LOCALS~1\Temp\Rar$EX03.638\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [THGuard] C:\Program Files\TrojanHunter 3.7\THGuard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/0fb5e03023def1/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Din log er ren nu, for at holde skidtet ude af din PC, kan du hente flg. programmer:
Spywareblaster, Spywareguard, IE-Spyad og Empty Temp Folders, dem finder du, sammen med danske vejledninger her:
http://www.spywarefri.dk/vaerktoj.htm
Læs især om IE-Spyad, så du får det fulde udbytte af dette lille geniale program.
Mvh:
Fromsej/Team Spywarefri.

Jeg ønsker ikke at installere alt muligt på min computer. Til gengæld holder jeg den opdateret, og åbner ikke fremmede e-mails etc. Fremover share'r jeg heller ikke min drevs når jeg er på internettet! Tak for hjælpen.

Fair nok, det virker også som om du har fuldstændig styr på hvad du har med at gøre, de småprogrammer er beegnet til folk der bare vil surfe derudaf.

At share drev på nettet er en næsten sikker vej til skidt og møg. Der er store forskelle mellem trojaner og vira, men det fører for vidt at fortælle om det her. Ingen virusscanner eller småprogrammer. Så ser vi dig igen. Velkommen tilbage en anden gang :o)