Gaobot/Windows lukker programmer endnu en gang

løber den lige igennem

Det gør jeg også ;)

Heja, heja, heja *GG*

john stigers -> Tag du den bare

H:\WINDOWS\System32\esoh123.exe - det kan godt se ud som dette kunne være gabot... http://www.vsantivirus.com/gaobot-dm.htm

kigger lidt mere

O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe

H:\WINDOWS\System32\esoh123.exe
og
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe

Ovenstående skal fjernes - har ikke lige vejledning ved hånden... arlet har du vejledning?

Disse fixes med HijackThis
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
Derefter skal der startes i fejlsikret og denne skal fjernes
H:\WINDOWS\System32\esoh123.exe  --> kun FILEN

Det er mit bud :o)

Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

H:\WINDOWS\System32\esoh123.exe
og
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Ok, jeg prøver!

Hmmm...

Jeg fik ikke muligheden for at vælge af fixe H:\WINDOWS\System32\esoh123.exe
så da jeg genstartede efter at have fixet de to andre, var de tilbage igen! Den nye log-fil ligner den gamle til forveksling:

Logfile of HijackThis v1.97.7
Scan saved at 23:46:52, on 20-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programmer\Messenger\msmsgs.exe
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
H:\WINDOWS\System32\esoh123.exe
H:\Programmer\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
H:\Programmer\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
H:\Programmer\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Back-up\Spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dsc.discovery.com/news/news.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "H:\Programmer\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "H:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480SXU] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P25 "EPSON Stylus COLOR 480SXU" /O6 "USB001" /M "Stylus COLOR 480SXU"
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38005.6219675926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Jeg gætter på at jeg skal fixe de to filer og manuelt slette den sidste, no?

WormHeart

Huskede du at disable systemgendannelse?

Start op i fejlsikret og slet denne:
H:\WINDOWS\System32\esoh123.exe

gå ind i hijackthis og fix disse:
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe


genstart og ny log

john -> åbner du lige din icq

Jeg havde faktisk skrevet den skulle fjernes i fejlsikret :)

20/01-2004 22:56:08
Disse fixes med HijackThis
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
Derefter skal der startes i fejlsikret og denne skal fjernes
H:\WINDOWS\System32\esoh123.exe  --> kun FILEN

Det er mit bud :o)

Helt rigtigt victor-1*S*

Ok! Jeg havde allerede slået systemgendannelse fra, da det blev sagt i andre tråde :~)

Jeg fixede de to filer, genstartede i fejlsikret tilstand og hoppede ind i System32 mappen. her fandt jeg hele TO filer der hed noget med esoh, nemlig: esoh123.exe OG esoh123.exe.poly.

Efter lidt overvejelse pakkede jeg begge filer ned i en WinRAR så jeg kunne gendanne dem hvis alt gik galt og slettede dem.
Jeg bootede normalt, kørte Spybot og det ser godt ud. Her er loggen:
Logfile of HijackThis v1.97.7
Scan saved at 00:02:36, on 21-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\System32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
H:\Programmer\Messenger\msmsgs.exe
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
H:\Programmer\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
H:\Programmer\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
H:\Programmer\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
H:\Programmer\Panda Software\Panda Antivirus Platinum\pavProxy.exe
H:\Programmer\Internet Explorer\iexplore.exe
H:\WINDOWS\System32\wuauclt.exe
C:\Back-up\Spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dsc.discovery.com/news/news.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "H:\Programmer\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "H:\Programmer\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [MSMSGS] "H:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480SXU] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P25 "EPSON Stylus COLOR 480SXU" /O6 "USB001" /M "Stylus COLOR 480SXU"
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38005.6219675926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nu håber jeg ikke at jeg fik slettet for meget, men jeg har en RAR fil liggende hvis det skulle være tilfældet! :)

MVH

WormHeart

Den rar fil kan du rolig slette. for den polyfil skal også slettes.

Du er ren nu og kan aktiver din systemgendannelse

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.frac.dk/pakke.htm

Og så syntes jeg at du skal dele dine point mellem john_stigers og victor-1

Det var dem, der lavede alt arbejdet*S*

Alle tiders!

Dumt spørgsmål her til sidst... det er så sjældent at jeg bruger eksperten at jeg hver gang glemmer hvordan jeg deler point ud... *flov*

WormHeart

Når victor-1 har lagt et svar, så marker du begge navne i boksen forneden og trykker på accepterer. Så får de deres point

men vent til victor-1 har lagt et svar

Ak, det var jeg for hurtig... Kan man dele ekstra point ud? Ellers må jeg lige lave et bonus spørgsmål til Vitor-1

WormHeart

Victor-1, jeg har oprettet et spørgsmål kun til dig :~)

WormHeart

Sprgsm. er her :o) - http://www.eksperten.dk/spm/454724