Har fået Gaobot.gen.d

prøv at hente en remove tool fra www.symantec.com...

Har prøvet med fxgaobot.exe, men den fandt ingenting...

Så tag en onlinescan her: http://security.symantec.com/ssc/vc_scan.asp?j=1&langid=ie&venid=sym&plfid=23&pkj=RTGCORVWHFHMFNZMBBX

Der er vist ingen anden udvej end spybot/hijackthis

Hent Spybot og Hijackthis her : www.arlet.dk/hjtanv.htm

Magictouch -> fandt ikke noget
arlet -> er ved at dl

ok

arlet> sovet længe;)

nej, havde bare ikke set den, var optaget med en anden*S*

færdig med at dl, og er ved at kører spybot

har tjekket alt nu - hvad gør jeg med det den har fundet?

ups- skal først lige opdatere spybot

ja, og kør den så igen. Alt med rødt markerer du og trykker afhjælp valgte problemer

ok - har lige i mellemtiden læs vejledningen - havde ikke set den i første omgang, skal jeg følge den?
Bliver nød til at smutte et par timer, men håber du er klar på at hjælpe mig igen, hen over middag, eller i aften.

Ja, selvfølgelig er jeg det. Vi får en mail, når du skriver i tråden...

så er jeg tilbage.
har opdateret og kørt spybot, samt afhjulpet problemet - hvad gør jeg nu?

sender en hijackthis herind(læs i linket)

Logfile of HijackThis v1.97.7
Scan saved at 14:14:51, on 02-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Eudora\Eudora.exe
C:\Programmer\Network Associates\VirusScan\VsStat.exe
C:\Programmer\Network Associates\VirusScan\Vshwin32.exe
C:\Programmer\Fælles filer\Network Associates\McShield\mcshield.exe
C:\Programmer\Network Associates\VirusScan\Avconsol.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Download\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4321/mcfscan.cab

Din log er ren. Du har ikke mere gaobot på din computer.

Tag lige og slå din systemgendannelse fra og kør et fuld scan med panda fuldt opdateret, men den finder sikkert ikke noget...

hvorfor bliver min mcafee så ved med, at poppe op, og sige at jeg har gaobot.gen.d ?

prøv RAV http://www.arlet.dk/rav.htm

den sletter den ikke altid, men fortæller hvor de ligger, skriv dem og og læg dem herind..

måske gemmer den sig i temp filer??  prøv at tømme temp mappen i windows-mappen, og slet alle cookies,  scripts og temp filer fra Internet Explorer...

Rav fandt ingenting - har også slettet temp + cookies.
Jeg forstår det bare ikke - mcafee finder med jævne mellemrum

C:\WINDOWS\system32\winhlpp32.exe\WINHLPP32.EXE    W32/Gaobot.worm.gen.d


og sidste gang fandt den

C:\System Volume Information\_restore{90BBC172-15D8-4361-993B-CC19067E0A45}\RP6\A0000274.exe\A0000274.EXE    W32/Gaobot.worm.gen.d

kan forøvrigt ikke finde et bibliotek der hedder C:\System Volume Information\ er det et skjult bibliotek?

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Så skal du kunne finde den.

hmm... nu kan jeg godt se mappen, men kan ikke komme ind i den?

kan du finde denne her: C:\WINDOWS\system32\winhlpp32.exe\WINHLPP32.EXE

så skal den bare slettes

C:\WINDOWS\system32\winhlpp32.exe << Mappen skal slettes, gør det fra fejlsikret, evt. i kommandoprompten.

Jeg ved ikke hvad der gjorde udslaget, måske spybot, men siden mit sidste indlæg har jeg ikke fået nogen virusadvarsler, så alt tyder, som arlet også skrive, at jeg ikke længere har virus, medmindre sådan nogle vira kan gå i hi?

Arlet -> du får selvfølgelig de fleste point, men håber da det er i orden for dig at tonnilerche får lidt point for sit lidt mindre bidrag.

Under alle omstændigheder tak for hjælpen.

Moebiuz

Selvfølgelig er det i orden.

Fromsej skulle vel også have lidt, ellers afregner jeg selv med ham.

jo det gik vist lidt for hurtigt ved pointuddeling, men det er cool, hvis i selv kan afregne.
Endnu en gang tak

Velbekommen

fromsej -> lidt point for hjælpen http://www.eksperten.dk/spm/460902