mangler hjælp til fjernelse af denne virus: W32.Welchia.D.Worm

Hent en hijackthis : http://www.arlet.dk/hjt.htm

kan ikke finde den..

Har du et anti virus program?

http://spywarefri.com/HJT/hijackthis.exe

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

hmm svchost tror jeg da ikke umiddelbart du skal slette ?. Er du sikker på det er virus ?

Ja jeg skal jo lære at kigge mig for :O)
Start du op i fejlsikret tilstand og kør en fuld scanning af din pc men Norton.

tanakin -> Det er heller ikke vores plan.

men når svchost bruger så meget cpu, som tilfældet er her, så er det tegn på snavs på compyteren, som vi kan finde med en hijackthis

jeps, jeg lader jer om det. Mener da bare svchost kører ved en del processer sååå jeg ville lige blande mig :/. Meeeen fromsej har jo lige hjulpet mig så jeg er sikker på der er styr på det ;)

jeg har scannet med norton, og den kan ik fjerne eller quarantine den...

Den svchost der ligger der skal slettes, men lad os se den log inden du gør det, så vi er 100% sikre.

skal jeg poste log her?

ja

Logfile of HijackThis v1.97.7
Scan saved at 20:13:10, on 20-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmer\Creative\SBLive\Program\CTAvTray.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\NetLimiter\NetLimiter.exe
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\The All-Seeing Eye\eye.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\teamspeak2_RC2\TeamSpeak.exe
C:\Documents and Settings\Dennis\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mohaa.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programmer\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NetLimiter] C:\Programmer\NetLimiter\NetLimiter.exe /s
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programmer\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\RunOnce: [ICQ] C:\Programmer\ICQ\ICQ.exe -trayboot
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

Start op i fejlsikret og find og slet denne:
C:\WINDOWS\System32\drivers\svchost.exe

genstart og ny log

Hvis du ikke kan finde den, så gør sådan:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

og prøv igen

GRR nu gider den ik genstarte i fejlsikret..

Så prøv uden fejlsikret

men den fortæller nok at filen er i brug.

Så hent:
Find filen med dette program og filen bliver helt sikkert slettet, evt efter genstart:
http://www.spywarefri.dk/tipsogtricks.htm#dr.delete

C:\WINDOWS\System32\drivers\svchost.exe

genstart og ny log

har fjernet den nu, min kammerat som er ved siden af fik fixet så den kunne genstarte

i fejlsikret..

har fjernet den virus nu, hvad så?

genstart og kom med en ny log

Logfile of HijackThis v1.97.7
Scan saved at 21:05:21, on 20-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmer\Creative\SBLive\Program\CTAvTray.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\NetLimiter\NetLimiter.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Dennis\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mohaa.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programmer\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NetLimiter] C:\Programmer\NetLimiter\NetLimiter.exe /s
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programmer\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKCU\..\RunOnce: [ICQ] C:\Programmer\ICQ\ICQ.exe -trayboot
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


den er klaret nu, ingen virus mere :D tak for hjælpen

lav venligst som et svar så du kan få point

Denne kan du også lige fjerne.
C:\WINDOWS\Updreg.exe

Det er en der holder øje med dine registreringer med Creative Labs SoundBlaster Live! cards

Ellers er der ikke noget.


For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

tak tak