Worm.agobot.gen i winupdate.exe

Og jeg kan forresten heller ikke åbne Registreringsdatabasen. Går jeg i Start - Kør - skriver regedit, lukker den bare ned.

Jamen så kigger jeg da lidt på den ;O)

Der går lige lidt tid, så vender jeg tilbage...

LÆg programmet hijackthis i en ny mappe for sig selv og følg anvisningerne her: http://www.spywarefri.dk/hjtanv.htm (punkt 5 og 6).

Genstart i fejlsikret tilstand (tryk F8 i opstart)

Fix disse med HijackThis:


O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe

O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe


O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


-----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-----

Find og slet disse filer:

C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svhosts.exe


Genstart normalt og kom med en ny log - tak

Bid mærke i at det skal være SVhost og ikke SVChost du skal finde og slette.

Du skal også lige bruge Start->Søg finde og fjerne winupdate.exe
Afhængigt af styresystem skal du lige fifle med indstillingerne i Søg.

Tak for inputtet fromsej.

Er jeg helt skæv på den ellers med hensyn til loggen???

Nej, det ser rigtigt ud.
Selvom logfilen er lidt underligt skruet sammen, men jeg skal nok kigge med i den ny log.*S*

Takker :O)

Her er en ny log fil:

Logfile of HijackThis v1.97.7
Scan saved at 21:17:29, on 29-02-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\svchos1.exe
C:\WINDOWS\System32\svhosts.exe
C:\WINDOWS\System32\mssvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\sndloader.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Karsten\Skrivebord\kj\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\Run: [Microsoft Windows Media Enforcer Components] mssvc32.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Media Enforcer Components] mssvc32.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A10F745A-B0BA-4D90-BEE9-C5BC906A3702}: NameServer = 193.162.153.164 194.239.134.83



Jeg afventer videre - men skal jeg bare søge og fjerne winupdate.exe nu??

jeg genstartede i fejlsikret tilstand og fjernede, men lavede en ny logfil i normal tilstand....hvis det har betydning

Og en sidste ting: jeg får en "lukning af system" dialog boks frem (lige nu faktisk!!) hvor jeg har 50 sek. til at lukke...!?

Og det vil du blive ved med indtil du får installeret Servicepack 1 og hotfixes.
Det er nye varianter der er i din log nu.
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
Hent og installer dem.

tryk start -> kør og skriv shutdown -a  så har du tid til at opdatere windows

Er min log fin nu eller hvad?

Er ved at hente filer fra de to url´s nu - installere så snart de er nede.

....men skal jeg bare søge og fjerne winupdate.exe nu??

Vent til du har opdateret

Når du har opdateret windows skal du fixe følgende:
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\Run: [Microsoft Windows Media Enforcer Components] mssvc32.exe
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Media Enforcer Components] mssvc32.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe


Find og slet disse filer:
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\svchos1.exe
C:\WINDOWS\System32\svhosts.exe
C:\WINDOWS\System32\sndloader.exe

Genstart og ny log please ;O)

C:\WINDOWS\System32\mssvc32.exe
Skal også slettes. tror jeg nok. Fromsej giver lige sit besyv med inden du sletter den. Jeg mener den hører sammen med O4 - HKLM\..\Run: [Microsoft Windows Media Enforcer Components] mssvc32.exe som er snavs.

Ok.

1. Efter installation af opdatering, genstarter jeg i fejlsikret tilstand og fixer de nævnte filer.

2. Genstarter i normal tilstand

3. Finder og sletter de nævnte filer

4. Genstart normal(eller fejlsikret?) og ny log herind


ok?

Service pack1 er nede knap 40min som det ser ud nu.....

Det er som det skal være.

ok, fint. Jeg vender tilbage så snart det er gjort...

Når du har SP 1 og hotfixes nede, så fixer og genstarter du, men du skal være offline, pil evt. stikket helt ud.
Installer så SP 1 og hotfixes, genstart og så laver du en ny log.

ikke noget med fejlsikret tilstand eller hvad - er det ligemeget?

Kør Hijackthis i fejlsikret også, og slet så de filer stadig i fejlsikret, derefter genstarter og installerer du SP1 og Hotfix, men vær offline når du gør det.

(7 min. til SP1 er nede...)

Tingene trak ud (!) - jeg tror jeg fik bugt med den omkring 1.00 inat.

Jeg har lavet disse to logs efter at have fixet, fjernet og installeret Servicepack 1 og hotfix. Den første er taget i fejlsikret tilstand, den anden i normal, som følger:



Logfile of HijackThis v1.97.7
Scan saved at 23:48:28, on 29-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Karsten\Skrivebord\kj\hijackthis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [KB826939] rundll32.exe apphelp.dll,ShimFlushCache
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab







Logfile of HijackThis v1.97.7
Scan saved at 23:52:58, on 29-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Documents and Settings\Karsten\Skrivebord\kj\hijackthis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmer\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab



Ellers gjorde jeg som beskrevet - dog kunne jeg ikke få lov at fjerne svhosts.exe?

Computeren fungere fint nu - alt virker igen (Norton osv. osv.) og alt er umiddelbart som det skal være. Scanner jeg med housecall, panda eller norton finder den heller intet mer.

Venligt tjek min log og gi mig feedback på svhosts - og så vil jeg selvføleglig gerne have forslag til hvordan jeg IKKE får denne eller ligende virus igen (jeg har netop opdateret min Norton og hentet Spybot.)

Din log er ren nu, vi har lavet en pakke for at holde den ren, den kan du kigge på:
http://www.eksperten.dk/artikler/144
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper, derudover Dcombobulator for at lukke hullet til Blaster/Gaobot.
Mvh:
Fromsej/Team Spywarefri.

Andersenph>>Jeg har fået din mail, men jeg kan hverken sende eller modtage mails i øjeblikket, derfor har jeg ikke fået svaret.

Super. Mange tak for den hurtige hjælp....!!!:)

Vil I dele point....eller?

Så må det være 100 til Andersenph og 50 til mig.*S*

Jamen så lægger jeg lige et svar

-->fromsej-->Det er bare i orden :O) Skal du have hjælp?  (joke)

Sådan, point givet. Mange tak for hjælpen begge to - virkeligt godt!

:)

Selv tak ;O)

Velbekomme, tak for point.*S*

Igen..
Jeg er ramt af samme virus...
Men har det problem at jeg ikk kan klikke på links og kan ikk kopiere og ingen virusscannere kan få fat i den...
Så jeg er fucked... jeg kan heller ikk oprette et spørgsmål selv ...
så derfor skriver jeg her ...

NOGEN HJJJÆÆÆLLLLPPP

PS og jeg forstår sku ikk rigtig jeres lille snak her??

http://us.mcafee.com/virusInfo/default.asp?id=stinger
Prøv stinger

Det her blir nemt den skal skrives af :D

Ikke forstået????

Jeg kan ikk klikke på links pågrund af virussen så jeg skal skrive dem af istedet ikk lige nemt hvergang

http://grc.com/dcom/
Luk porten virussen bruger til at komme ind på din pc

Ok på den måde, så må jeg hellere finde nogen links med lange adresselinier *S*

HEHE ja det blir sjovt og sidde til klokken 2 bare for at komme ind på siden :P
Men hvordan lukker jeg porten

Jeg fik sku ikk lov til at bruge DCOM??
Ved ikk hvorfor??

Prøvede du stinger først?

JA Men er ikk færdig i nu!

Hvis du kan komme til at køre en hijack scan, så prøv at se om filerne vi slettede sidst optræder igen. Dem kan du så fixe i fejlsikrtet tilstand.
Jeg skal puttesove nu, så jeg kigger ind igen i morgen
Gnat :O)

Den hedder windowsupdate.exe

Vhis jeg fjerner den skulle den så være væk ??
ahr fjernet alt andet!!

Ja hvis du fjerner den skulle du være ren

OKAY og det skulle kunne lade sig gøre i fejlsikret

Det kan være du skal gøre det i fejlsikret...

Jeg kan ikk nu har prøvet