Søg
Avatar billede larsanton Nybegynder
21. december 2003 - 18:00 Der er 12 kommentarer og
1 løsning

Hvilken virus har jeg.

Hej....
Min bærebare er blevet inficeret med virus, en orm eller noget af en art.
Mit problem ligger i at jeg ikke kan identificere den virus.
Men den kommer ind med den kendte nedlukning af system om 1 min. Og kører glædeligt shutdovn -a, for at afbryde nedlukningen. Ydermere har den virus gået ind og bevirket at jeg ikke kan starte Norton Antivirus 2004 op. Og jeg kan heller ikke opdatere den vigtige Microsoft MS03-026 for at lukke hullet.
Avatar billede arlet Juniormester
21. december 2003 - 18:01 #1
Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre vira angriber igennem,
de kan lukkes ved alle opdateringerne fra windows update:

Hent dem herfra : http://v4.windowsupdate.microsoft.com/da/default.asp


Så er der lukket af for yderligere angreb af blasterormen,


Prøv først at slette blasterormen med stinger http://vil.nai.com/vil/stinger/ det sker engang i mellem at stinger ikke finder den, så må vi ty til hijackthis.

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm
Avatar billede billen Nybegynder
21. december 2003 - 18:02 #2
lyder meget som blaster... du kan finde sider om hvordan man fjerner den på google
Avatar billede billen Nybegynder
21. december 2003 - 18:03 #3
ja.. du kan jo også bare læse hvad arlet skriver ;o)
Avatar billede larsanton Nybegynder
21. december 2003 - 18:08 #4
Hej igen.
Har lukket DCOM nu, og har opdateret alt hvad der kan opdateres fra Microsoft.
Stinger kan ikke fange ormen. Så jeg har hentet Hijackthis og her er min logfil:
Logfile of HijackThis v1.97.7
Scan saved at 18:05:16, on 21-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\System32\sw32.exe
C:\WINDOWS\System32\taskmngr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jens Antonsen\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Configuration Loader] sw32.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Task Loader] {rdprM@YVO^
O4 - HKLM\..\RunServices: [Configuration Loader] sw32.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [Task Loader] {rdprM@YVO^
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
Avatar billede arlet Juniormester
21. december 2003 - 18:57 #5
Løber den lige igennem
Avatar billede arlet Juniormester
21. december 2003 - 19:05 #6
Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
O4 - HKLM\..\Run: [Configuration Loader] sw32.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Task Loader] {rdprM@YVO^
O4 - HKLM\..\RunServices: [Configuration Loader] sw32.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [Task Loader] {rdprM@YVO^
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\System32\sw32.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede arlet Juniormester
21. december 2003 - 19:06 #7
Hvis det er din selvvalgte startside, ´skal de ikke slettes

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
Avatar billede larsanton Nybegynder
22. december 2003 - 17:36 #8
Har fulgt dine instrukser til punkt og prikke, og her er min nye "rene" log, håber den er ok nu:
Logfile of HijackThis v1.97.7
Scan saved at 17:05:52, on 22-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\taskmngr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jens Antonsen\Lokale indstillinger\Temp\Midlertidig mappe 8 for hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
Avatar billede larsanton Nybegynder
22. december 2003 - 17:53 #9
Er der nogen der er i gang med at gennemgå den nye rene log fra mig? :0)...
Avatar billede arlet Juniormester
22. december 2003 - 18:08 #10
Så er du ren og kan aktiver din systemgendannnelse igen

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.
Avatar billede larsanton Nybegynder
22. december 2003 - 18:11 #11
hmm.... Min Norton Antivirus 2004 er bare helt på skideren!
Den lukker stadig ikonet nede i proceslinien??? Og jeg kan ikke aktivere Norton.... Ellers 1000 tak for hjælpen!!!
Avatar billede arlet Juniormester
22. december 2003 - 18:13 #12
Velbekommen, så prøv at reinstaller norton
Avatar billede larsanton Nybegynder
22. december 2003 - 18:14 #13
SUPER!!! God jul til Jer alle inde på EKSPERTEN!!!!
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 11:00 IIS på Win10 64 bit Af bsn i Webservere
I går 09:01 Bitlocker Af Chevy396 i Windows
18/0501:57 Tjek alle checkbox i form Af bsn i ASP
17/0521:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
White papers
Flere white papers »