Min computer genstarter

Lyder som om du har msblaster virusen.. :)

Kan du hjælpe mig ?

http://webguider.dk/VisArtikel.aspx?id=124

Ellers kan jeg. Du skal have fat i stinger fra McAfee. Du kan læse alt om blaster på vores hjemmeside: http://www.spywarefri.dk/virus.htm#msblast Og her finder du også link til Stinger.

Hjælper det dig ikke så sig til, for der findes andre måder at få den fjernet på.

en anden artikel :)
http://sikkerhed.tdconline.dk/artikel.php?id=52986

aovergaard - jeg siger TIL :)
Prøvede Stinger, men den fandt ikke noget - forslag modtages gerne.

Den her metode er næste skridt.

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

*S* Hvis du har nogle rester, så finder jeg dem for dig.

Du skal installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du under værktøjer på Spywarefri.
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Når du har installeret Spybot, skal du som det første hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot, og fjerne alt det snavs, som det eventuelt finder.
Derefter skal du installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen, og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Logfile of HijackThis v1.97.7
Scan saved at 19:41:40, on 25-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\InfoSmart\PC-TV FM\RemoteCtl.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Fælles filer\Real\Update_OB\realevent.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Documents and Settings\paul\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar_en_2.0.95-deleon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar_en_2.0.95-deleon.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programmer\KYE\RF Wireless PowerScroll Mouse\gnetmous.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\Programmer\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [zzzHPSETUP] F:\Setup.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 1.0.3.lnk = C:\Programmer\OpenOffice.org1.0.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC-TV FM Remote Control.lnk = C:\Programmer\InfoSmart\PC-TV FM\RemoteCtl.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar_en_2.0.95-deleon.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar_en_2.0.95-deleon.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar_en_2.0.95-deleon.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar_en_2.0.95-deleon.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page - res://c:\programmer\google\GoogleToolbar_en_2.0.95-deleon.dll/cmtrans.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - http://www.alternatiff.com/install/00/alttiff.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {402EE96E-2CE8-482D-ADA5-CECEEA07E16D} (TurnTool Scene) - http://www.turntool.com/ViewerInstall.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26e801c9b539a8b60821/netzip/RdxIE601.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSPInstall0703.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.2318171296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DC765522-D5BE-49C9-AF5F-8C715A44BA28} (MS Investor Ticker) - http://fdl.msn.com/public/investor/v9.5/ticker.cab

Lidt snavs var der da, men det var ikke meget.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26e801c9b539a8b60821/netzip/RdxIE601.cab
O16 - DPF: {71AEE1E3-1B65-41FA-BBD2-565CBD1359D8} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSPInstall0703.exe

Genstart din computer. Lad mig høre om det hjælper på dine problemer. Der lå en af de dumme filer i din log, men det var ikke en blaster.

Hej alle sammen !

"pauls" er en af mine gode venner og det er egentlig mig som har fået ham igang herinde. Han ringede mig op efter at ha' lagt sin log herind og fortalte, at han ikke længere kunne etablere forbindelse til Internettet.

Jeg kørte jeg ud til ham, for at se hvad vi kunne finde ud af men lige meget hvad vi end forsøgte ville det ikke lykkes. Han fortalte mig, at han mens han ventede på en ny kommentar fra en af Jer, kom den "forba..." meddelelse igen, om at computeren ville lukke ned efter 60 sek.

Han lukkede alt det han kunne, computeren lukkede og han startede den op igen. Herefter kunne han ikke få forbindelse til Internettet.

Han bad mig meddele Jer, at han ville vende tilbage når han havde fået geninstalleret sin Windows.

/victor-1

victor~1 sikke da noget møg, og jeg undrer mig helt vildt, for der ligger ikke blaster i hans log. Gad vide om de nu har lavet en ny blaster igen, som hijack ikke kan se. Det håber jeg bestemt ikke er tilfældet.

Men jeg kan jo så også se, at muligheden for at han får en blaster er enorm. Han har slet ikke beskyttet sig med WindowsUpdate, det er meget vigtigt. Og så er det med at få lukket for den Dcom lige så snart han komme op at stå igen. http://www.spywarefri.dk/tipsogtricks.htm#DCom Her kan I læse om det. Du kan evt. gå ud og hente Servicepack til ham inden han går på Nettet igen, og deaktive den Dcom skal han også gøre, før han går på igen. Servicepack må i brænde ned på en cd, så han ikke skal være ubeskyttet lige så snart han går på, for der går ikke 5 min. før blaster er der.

Han skal få din besked overbragt af mig i morgen.
Vi må jo se i løbet af de næste par dage, om der skulle være dukket en ny Blaster op. Så får du uden tvivl travlt herinde ;o)

Hører du om noget regner jeg med du lader et par ord falde - hej så længe.

victor~1 -> Godt, for det er dumt at gå på med XP uden Sp 1 og patch det er simpelthen for farligt. Dcom hjælper ham også godt på vej.

Men jeg undrer mig virkelig over, at den ikke ligger i hans log, og du har ret, så får vi travlt hvis det er en ny virus. Vi har dog intet hørt om det endnu, men du skal nok få det at vide, hvis det er tilfældet. Hej så længe, og sig pøj pøj til ham

Kan oplyse at der er en "ny" virus på færde..... Gaobot.

Den findes allerede i over 30 forskellige varianter med hver sine procesnavne. Som regel (og ingen regel uden undtagelser) ligger processen og starter op sammen med maskinen.

Dvs under en af disse 2 nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

....og den har procesnavne som:
scvhost.exe (i stedet for svchost.exe)
SCVH0ST.EXE (Læg mærke til at det er et nul og ikke et o)
csrrs.exe (ikke csrss.exe)
SERVlCES.EXE (i'et er et L)
.....og det er mange andre.

Symptomerne er de samme som Blaster. Det skal nok blive morsomt :-)

Men angående dette spørgsmål........ Begynder maskinen at tælle ned, inden den genstrater ?
Hvis det ikke er tilfældet er det hverken blaster eller Gaobot.

Så skulle du kigge i event loggen og lede efter nogle fejlmeddelelser, som vi kunne kigge på.

Har endnu en hilsen (besked) til Jer fra "pauls" -
Han kigger herind engang først i næste uge :)

Tak for tippet "stig3" - er der nogle stedder vi kan læse mere om det skidt ?

/victor-1

Søg på Gaobot her:
http://www.symantec.com/search/

Her kan man finde dem Symantec indtil videre har fundet og identificeret.
En lille detalje er at man for det meste ikke kan komme ind i regedit med mindre man starter op i fejlsikret. Nogle sekunder efter registrerings editoren åbner, lukker den ned igen.

Du kan også støde på den som Lsas.exe, det er en rigtig lusket lille fætter.

Hej Eksperter.

Jeg har indtil nu været en ny, uvidende og godtroende Windows XP bruger, men er siden dette spørgsmål blev oprettet, blevet en hel del klogere.

På opfordring af victor-1, har jeg nu anskaffet mig en version af Windows 2000 Pro, som er blevet installeret og opdateret efter alle kunstens regler.

Der er ligeledes blevet installeret Firewall, Anti-virus samt programmet Spybot og jeg er blevet sat grundigt ind i, hvordan jeg opdatere og bruger disse programmer for at holde Windows ren.

Internet siden ”spywarefri.dk” er blevet føjet til min foretrukne, da den jo tilsyneladende indeholder alle de ting som man har brug for, med hensyn til sikker Internet færden.

Jeg takker for hjælpen og uddeler point.

Velbekommen, takker for point:) og det glæder mig da, at du har sat vores hjemmeside til dine foretrukne, samt at du nu beskytter dig selv lidt bedre.

Tag lige et kig på IE-Spyad - Spywareblaster - SpywareGuard og EmtyTempFolder også *S*