hijackthis log msblaster I THINK

Luk for DCom: http://www.spywarefri.dk/tipsogtricks.htm#DCom

Slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør så kig her: http://www.spywarefri.dk/virusscannere.htm#alle


Det eneste vindue, som skal være åbent, er HijackThis-vinduet. Fix disse filer med HijackThis fra fejlsikret tilstand (F8 i opstart):

O4 - HKLM\..\Run: [a3-100-fx] windowsfx.exe
O4 - HKLM\..\RunServices: [a3-100-fx] windowsfx.exe

----
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
----

Find og slet denne:
C:\WINDOWS\System32\windowsfx.exe >>>> filen windowsfx.exe


Genstart almindeligt og få opdateret Windows og IE med SP1 m.m.: http://v4.windowsupdate.microsoft.com/da/default.asp

Send en ny log herind til tjek - tak

jeg kan ikke slette windowsfx.exe --> access denied

der er en fil der hedder windowsfx.exe.poly også, skal den slettes?

windowsfx.exe.poly >> Ja, den skal også slettes!

Prøv lige at fixe igen og slette filerne fra fejlsikret.


Prøv også at gå i Start > Kør. Skriv msconfig og tryk OK. Gå til fanebladet ”Start”. Fjern vingen ud for [a3-100-fx] windowsfx.exe og windowsfx.exe.poly og tryk OK (hvis de optræder i listen).

Genstart i fejlsikret, find og slet filerne.


Lav en onlinescanning med Panda: http://www.pandasoftware.com/activescan/com/default.asp?language=2&Country=63&Partner=1&Ref=PR-AS-107

Og Housecall: http://housecall.trendmicro.com/

Vend tilbage med svar - tak

Prøv også Stinger: http://vil.nai.com/vil/stinger/

Incident                      Status                        Location                                                                           

W32/Gaobot.DM.worm            Disinfected                  C:\RECYCLER\S-1-5-21-1993962763-329068152-682003330-1004\Dc1.exe                                                                           

W32/Gaobot.DM.worm            Disinfected                  C:\RECYCLER\S-1-5-21-1993962763-329068152-682003330-1004\Dc2.poly                                                                           

W32/Gaobot.DM.worm            Disinfected                  C:\WINDOWS\system32\winhlpp32.exe                                                                     

W32/Spybot.F.worm            Disinfected                  D:\System Volume Information\_restore{CBDFDDFE-DFCA-4B88-AA13-9D46AA1B182B}\RP72\A0008724.exe                                                                       

W32/Spybot.F.worm            Disinfected                  D:\System Volume Information\_restore{CBDFDDFE-DFCA-4B88-AA13-9D46AA1B182B}\RP75\A0008774.exe                                                                       

W32/Spybot                    Disinfected                  D:\System Volume Information\_restore{CBDFDDFE-DFCA-4B88-AA13-9D46AA1B182B}\RP110\A0010358.exe                                                                       

Housecall fandt nogle filer i nogle programmerings bøger jeg har liggende på et andet drev, men jeg tror ikke de har betydning:
UNIX COCO.c
PEWRSEC
VBS LOVELETTER.A
VBS LOVELETTER.A
PE WORM.NETBUS
BKDR NETBUS.C

Stinger prøver jeg nu...

Logfile of HijackThis v1.97.7
Scan saved at 12:58:28, on 08-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\BMS\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.3196875

stinger fandt ikke noget

Den sidste log fra HijackThis ser ren ud!

Det er meget vigtigt at du får opdateret Windows og IE med SP1 m.m.: http://v4.windowsupdate.microsoft.com/da/default.asp
Computeren er alt for ”sårbar” uden disse opdateringer.

Hvordan ”kører” computeren nu?

lad os se, det eneste problem jeg har haft er ikke at kunne installere IE og SP1, jeg er igang med at prøve igen

Her kan du også hente SP1: http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Hvis du ikke oplever flere problemer, må du slå systemgendannelse til igen og sætte mappeindstillinger tilbage til oprindelige indstillinger.

Her er et link til sikker surfing: http://www.spywarefri.dk/pakken.htm

test dette svar har fået o point