stadig problemer med W32.Blaster.Worm

Hvilke problemer har du??

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom Det er et lille bitte prg. som du også skal installere, og der ligger også på dette link en lille manual om hvordan du skal gøre det.

Du kan også lukke dcom manuelt:
Start->Kør Dcomcnfg.exe
Component Services->Computers->My Computer
Højreklik på My Computer og vælg properties
Vælg det faneblad som hedder default properties, og fjern alle flueben.

Nu har jeg fjernet fluebenet i Dcomcnfg.exe.... jeg har lige lavet en log, så i kan se om der stadig er noget tilbage af W32.Blaster.Worm

Logfile of HijackThis v1.97.7
Scan saved at 16:53:54, on 27-11-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
E:\Programmer\Norton AntiVirus\navapsvc.exe
E:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Programmer\SpywareGuard\sgmain.exe
E:\Programmer\SpywareGuard\sgbhp.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Documents and Settings\Orange Haze\Skrivebord\Spy things\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eb.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - E:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: SpywareGuard.lnk = E:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2535D2F0-754D-46CA-BD7C-E479E484CA06}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{2535D2F0-754D-46CA-BD7C-E479E484CA06}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS2\Services\Tcpip\..\{2535D2F0-754D-46CA-BD7C-E479E484CA06}: NameServer = 194.239.134.83,193.162.153.164

Det er fuldstændig ren.

Hvilke problemer har du, siden du stadig tror at du har blaster??

Eller er det bare et tjek??

Ja jeg er enig. Det er en ren log det der. Du kan selv lægge et svar og tage dine point igen selv.

Ellers uddyb lidt mere, for der er altså ikke noget at komme efter i den log.
Du mangler stadig at opdatere med Servicepack, så det skal du altså have gjort, for ellers får du blaster igen.

Ok...det er bare programmer som Nero og CuteFtp jeg ikke kan åbne pga. at der er virus siger den...meget mystisk

Det lyder mærkeligt, det er ikke pga virus.

Du bliver nok nødt til at geninstaller de programmer..

http://www.eksperten.dk/spm/432929
27/11-2003 00:10:05

Gjorde du som beskrevet nederst eller fixede du det i hijackthis

jeg fixede det meste i hijackthis...men fulgte det en efter en...

Nu tænkte jeg på de her:

Disse er unødvendige at have liggende I din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] E:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] E:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

Er de vinget af i msconfig eller er de fixet med Hijackthis???

De er fixet i hijackthis

Ja de nederste der, dem bad jeg dig om at fjerne fra msconfig, og ikke at fixe dem. Hvis du har problemer, så skal du altså lige prøve at installere disse programmer igen. De skulle stoppes i Run, men programmerne skulle jo ikke fjernes.

Du er nødt til at hente det du har fixet igen ved hjælp af backup.

Kør Hijackthis igen, i stedet for at trykke scan trykker du på config, også på backups, der markerer du disse linie
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] E:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] E:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
og trykker på Restore, det gør du til der ikke er flere linier, så genstarter du og laver en ny logfil.

ok ups! min fejl! :)...men det er også selve install programmerne jeg ikke kan kører...har det også noget at gøre med det? F.eks jeg ville installere Cuteftp -> Could not intialize installation. (CRC)Handlen er ikke gyldig. og Nero install -> The installation file is corrupted.

De har virket fint før

Prøv at se om du kan hive dem tilbage med det backup jeg skrev..

Er det lykkes for dig??

arlet med alle de point du fik her for at fortælle hvilke svar jeg havde givet i den anden tråd for 100 point, så skulle du da næsten også have haft lov til at tage den log. Her er intet nyt i denne tråd, som jeg ikke har oplyst om

Aovergaard-> http://www.eksperten.dk/spm/433292

Selvfølgelig får du halvdelen af pointene, ville bare vente til vi var sikker på at vi fik programmerne til at virke, igen..