Notifikationer

Markér alle som læst Log ud

big_ossi Nybegynder

14. april 2004 - 19:52 Der er 12 kommentarer og
1 løsning

W32.Gaobot.UK hvordan fjerner man den

Hej.

Har fået en virus W32.Gaobot.UK som gør det samme som blaser gjorde kommer med en popup og luker efter 1 min...

er der nogen der ved hvordan man fjerner den ??

Synes godt om

arlet Juniormester

14. april 2004 - 19:53 #1

Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Windows har nogle huller, som blaster og andre vira angriber igennem,
de kan lukkes ved alle opdateringerne fra windows update:

Hent dem herfra : http://v4.windowsupdate.microsoft.com/da/default.asp

Så er der lukket af for yderligere angreb af blasterormen,

Prøv først at slette blasterormen med det nye blasterfix fra microsoft http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf , hvis den ikke tager den, så prøv avast multifjerner: http://www.arlet.dk/avastmultifjerner.exe

Hvis den imod forventning heller ikke fjerner blasterormen, må vi ty til en hijackthis: http://www.arlet.dk/hjt.htm

Synes godt om

arlet Juniormester

14. april 2004 - 19:54 #2

Efter du har lukket dcom, så glem det sidste og smid en hijackthis herind i stedet for : http://www.arlet.dk/hjt.htm

Synes godt om

big_ossi Nybegynder

14. april 2004 - 20:04 #3

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\Gram barb\Trust Grid.exe
C:\WINDOWS\Mixer.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
E:\Ossipoff\FTP\-- Programmer\framxpro\FreeRAM XP Pro 1.40.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\Fælles filer\Symantec Shared\NMain.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Jacob\Lokale indstillinger\Temporary Internet Files\Content.IE5\TNKD6XYG\hjt[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {70E14506-004F-4830-B82D-B6D300DA553D} - C:\PROGRA~1\viewbags\SIGN EGGS.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PlanIntra - {4C65472F-0085-A04C-B04A-4E3942C0A739} - C:\PROGRA~1\viewbags\SIGN EGGS.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [puremath] C:\PROGRA~1\Gram barb\Trust Grid.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmer\Fælles filer\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Ossipoff\FTP\-- Programmer\framxpro\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.2825347222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

big_ossi Nybegynder

14. april 2004 - 20:06 #4

har prøvet at hente den tool fra microsoft men den siger jeg mangler en opdatering. men når jeg går ind og tjekker om der er kommet nogle jeg ikke har hentet siger den at jeg har dem alle... såå ved ik lige hvad der sker.

Synes godt om

arlet Juniormester

14. april 2004 - 20:12 #5

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.

O2 - BHO: (no name) - {70E14506-004F-4830-B82D-B6D300DA553D} - C:\PROGRA~1\viewbags\SIGN EGGS.dll

O3 - Toolbar: PlanIntra - {4C65472F-0085-A04C-B04A-4E3942C0A739} - C:\PROGRA~1\viewbags\SIGN EGGS.dll

O4 - HKLM\..\Run: [puremath] C:\PROGRA~1\Gram barb\Trust Grid.exe(hvis du ikke kender den, skal den fixes)

Find og slet:

C:\PROGRA~1\Gram barb\Trust Grid.exe(hvis du ikke kender den, skal den slettes)

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Synes godt om

big_ossi Nybegynder

14. april 2004 - 20:24 #6

jes så får du da lige en mere

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Messenger Plus! 2\MsgPlus.exe
C:\WINDOWS\Mixer.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\PROGRA~1\GRAMBA~1\Trust Grid.exe
E:\Ossipoff\FTP\-- Programmer\framxpro\FreeRAM XP Pro 1.40.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\Symantec\LiveUpdate\AUpdate.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Jacob\Dokumenter\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmer\Fælles filer\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [puremath] C:\PROGRA~1\GRAMBA~1\Trust Grid.exe
O4 - HKCU\..\Run: [FreeRAM XP] "E:\Ossipoff\FTP\-- Programmer\framxpro\FreeRAM XP Pro 1.40.exe" -win
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Programmer\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.2825347222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Synes godt om

arlet Juniormester

14. april 2004 - 20:27 #7

Så er den værktøjslinje væk, der kom samme med messengerPlus.

Er din gaobot væk, for der ligger ikke mere i loggen.

Scan med housecall her: http://www.arlet.dk/faeetvirus.htm

Hvad finder den??

Synes godt om

big_ossi Nybegynder

14. april 2004 - 21:00 #8

Det tog sin tid.. men den kom frem til jeg ikke havde nogle virus mere.. så det vat da det værd

Så du skal ha et stort tak for hjælpen..

Synes godt om

big_ossi Nybegynder

14. april 2004 - 21:22 #9

smid er svar så kan du få points ;)

Synes godt om

arlet Juniormester

14. april 2004 - 21:23 #10

ok.
Så er du ren og kan aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Synes godt om

big_ossi Nybegynder

15. april 2004 - 12:49 #11

Okay den tror jeg lige jeg henter.. :)

Synes godt om

big_ossi Nybegynder

19. april 2004 - 13:09 #12

Hey. gider du tjekke en log mere ? kan oprette et spørgsmål så du kan få lidt points :)

Synes godt om

big_ossi Nybegynder

19. april 2004 - 13:16 #13

http://www.eksperten.dk/spm/490904 er linket til spørgsmålet

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS

15/05

Test: Bærbar ekstra skærm til din laptop, smartphone eller spillekonsol er et fedt ekstra værktøj

15/05

Pludselig er de datalogi-studerendes karakterer raslet ned: ”AI-assistenterne afslører en svaghed i universitetssystemet"

15/05

Nørgaard: Datacentre, dommedag og den evige danske lyst til at sige nej

15/05

Produktionsgigant bekræfter hackerangreb: 11 millioner fortrolige filer fra Apple- og Nvidia kan være stjålet

15/05

KMD-aftale sender Aevens omsætning op mod to milliarder kroner – men underskud og gæld eksploderer

15/05

Microsoft vil selv fjerne dårlige drivere fra din pc: Ny funktion skal stoppe crashes og blue screens

15/05

Google afløser Chromebooken: Afløseren er marineret i AI-funktioner

15/05

Jan Topp er ny CIO i DLG

15/05

Motoren under materialismen: Derfor har du så mange ting - og bliver ved med at købe flere

15/05

Europas få AI-aktier eksploderer: Kaster sig over alt, der lugter af kunstig intelligens

15/05

To it-topchefer: Sådan sikrer du dine kompetencer i en tid, hvor AI presser it-folk til arbejdsløshed

Vis flere artikler

IT-JOB

TV2

Informationssikkerhedskonsulent til TV 2 Security & Compliance

Politiets Efterretningstjeneste

Erfaren softwareudvikler i Center for CNE-Operationer

Statens IT

Vil du arbejde med virtualisering (vmware) i Statens It?

Netcompany A/S

Test Consultant

Politiets Efterretningstjeneste

IT-frontdesk medarbejder til PET's IT Servicedesk

Vis flere jobs

Seneste spørgsmål Seneste aktivitet

I dag 01:57	Tjek alle checkbox i form Af bsn i ASP
I går 21:35	Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04	Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50	Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45	AJAX kode -javascript Af Asky i Programmeringsværktøjer

White papers

Arctic Wolf Security Operations Report 2025: Indblik i moderne sikkerhedsdrift
Arctic Wolf
E-fakturering bliver et krav – er din forretning klar?
Tabellae
Samarbejde mellem AI og mennesker styrker sikkerheden
Konica Minolta
Erfaringer fra frontlinjen: Sådan ændrer trusselsbilledet sig
Arctic Wolf

Flere white papers »