Agabot.M / BK

Du har sikkert også fået Blaster virus, og derfor lukkes der ned. Gå i start kør og skriv: shutdown -a
Så lukker den ikke ned. Jeg finder lige en adresse med modgift til dig imens.

ok

http://vil.nai.com/vil/stinger/ Det her prg. henter du så, den kan fjerne din Blaster virus. Denne virus kommer fordi du ikke har nået at få lukket for nogle huller via Windowsupdate. Vi lukker lige dit hul med det samme.
http://www.spywarefri.dk/tipsogtricks.htm#DCom

prøver lige

Vi kan så ikke være sikker på at Stinger tager det hele, men det skulle den gerne. For en sikkerheds skyld skal jeg tjekke hele din maskine igennem for dig.

Du skal installere to små programmer på din computer. Det ene hedder Spybot og det andet HijackThis. Begge programmer finder du under værktøjer på Spywarefri.
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Når du har installeret Spybot, skal du som det første hente de sidste nye opdateringer til programmet. Derefter skal du køre en scanning med Spybot og fjerne alt det snavs, som programmet eventuelt finder. Det er alt det med rødt, som skal fjernes. Marker med flueben alle de steder, der er med rødt og klik derefter på afhjælp problemer.
Derefter skal du installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen og læg en kopi herind.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner. HijackThis-loggen viser dig både de gode og de dårlige ting, så jeg skal nok hjælpe dig med finde de dårlige.

ok super ... stinger er ved at søge, henter spybot oh hijackthis

stinger: Number of clean files: 10524

Takker for point;)

Det var da helt vildt. Ja det er et ret godt lille prg. det der. Men vi fortsætter hele vejen alligevel, jeg vil være sikker på at du bliver helt ren.

thx

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchos1.exe
C:\WINDOWS\System32\SERVlCES.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\2nd\Skrivebord\HijackThis.exe
C:\Programmer\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://servicestage.symantec.com/techsupp/servlet/ProductMessages?module=1002&error=0&language=English&product=CC&version=0
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Configuration Loader] SERVlCES.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Configuration Loader] SERVlCES.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

hej det var så resultatet af hikackthis

ok, der er mere som skal væk kan jeg se, vender tilbage med et svar til dig når jeg har tjekket den helt.

ok tak

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://servicestage.symantec.com/techsupp/servlet/ProductMessages?module=1002&error=0&language=English&product=CC&version=0
O4 - HKLM\..\Run: [Configuration Loader] SERVlCES.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Configuration Loader] SERVlCES.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe

Genstart din computer I fejlsikret tilstand (f8)under opstart, find og fjern:

C:\WINDOWS\System32\SERVlCES.exe => Vær opmærksom på at det er den med stor du skal fjerne SERVlCES.exe ikke mappen System32 men selve den exe fil
C:\WINDOWS\System32\svchos1.exe => svchost1.exe som skal fjernes og ikke mappen system32

Genstart alm. Kør en ny scanning med hijackthis. Kopier ny log herind, så jeg kan tjekke at det nu også er forsvundet. Kopier hele loggen, det har du ikke gjort denne gang, og jeg kan derfor ikke se om du har fået opdateret dit Windows og dit IE.

Mvh. Aovergaard/Team Spywarefri.

ok går igang med det samme

Her er det nye resultat:

Logfile of HijackThis v1.97.7
Scan saved at 12:12:51, on 18-12-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\2nd\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

Ja det var jo straks meget bedre. Og nu kan jeg se, at du skal skynde dig at gå ud og opdatere dit Windows. Du risikere at få denne virus med det samme igen, hvis du ikke gør det. Du har lukket for Dcom ikke? den hjælper nemlig med til at du ikke får den.

Aktiver din systemgendannelse igen.

Jeg skal også lige have dig sikret lidt bedre for fremtiden. Jeg har lavet en lille pakkeløsning, med gode prg. som alle tilsammen gør, at du faktisk har meget svært ved at få snavs mere. Du finder min pakkeløsning ude på vores hjemmeside, direkte adresse til pakkeløsningen: http://www.spywarefri.dk/pakken.htm

Dcom, jeg ved faktisk ikke hvad det er!!!

http://www.spywarefri.dk/tipsogtricks.htm#DCom

Kanon, mange tak for hjælpen!!!

Velbekommen.

Du havde da vist overset det jeg skrev i min kommentar her *S*:
Kommentar: aovergaard
18/12-2003 11:22:25