Virus. Meget alvorlige problemer

http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Lad os se en log fil fra hijack...

http://grc.com/dcom/
Luk porten blaster bruger med dette program

http://download.nai.com/products/mcafee-avert/stinger.exe
Hent stinger til netsky

Logfile of HijackThis v1.97.7
Scan saved at 8:25:08 PM, on 18/04/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Folding@Home\winFAH.exe
C:\Programmer\Folding@Home\FahCore_65.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\DOCUME~1\Gert\LOKALE~1\Temp\NAVSetup.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\HiJack This\hijackthis.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kimschips.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmer\Fælles filer\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Folding@home 4.00.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38077.415787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Godt jeg kigger den lige igennem

http://www.pandasoftware.com/activescan/

Jeg forstår bare ikke hvordan det kan lade sig at gøre. Jeg åbner aldrig vedhæftede filer.

Jeg forstår heller ikke en pind for din log er ren...
Har du lukket med Dcom og kørt stinger?

Du kan også finde et værktøj til at reparere din pc for blaster osv. her http://www.pandasoftware.com/download/utilities/
Den fixer ALT hvad vira'en har lavet med dit system

det var heller ikke svchost, men svshost den hed.

Den eneste der ikke må være der er den fil der kommer i den smøre jeg plejer at lægge ind når noget skal fixes. Det kommer her:
Først opretter du en mappe kun til hijackthis og lægger programmet derover.

Du skal nu til at i gang med at fixe. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du skal at sætte en vinge ud for disse filer jeg har skrevet nedeunder. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Klik på Fix checkede.

Her er de filer, du skal fixe:
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
Derefter genstarter du og sender en ny log ind til check
Du må ikke slå systemgendannelse til før vi har sagt god for din log.

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg i fejlsikret tilstand efter den der svshost fil og slet den

Jeg kan se at du har pestpatrol. Den skulle da nappe den der spybot.gen

Har prøvet at bruge pestpatrol?
http://www.pestpatrol.com/pestinfo/w/worm_p2p_spybot.asp

Har du stadig problemer?

stinger fandt ikke noget

jeg har hele tiden kunne søge på svshost, men den har ikke kunne fjerne den. Det skete dog, at den pludseligt ikke var aktiv mere, så jeg godt kune slette den.

Hvis man starter op i fejlsikret tilstand ( tryk F8 når windows starter op)
Så er de fleste programmer og filer inaktive og kan derfor godt slettes.
Hvis man så søger efter filerne som er virusbefængte, kan man slette dem på den måde

Er dit problem så løst nu??

indtil nu: svshost skulle gerne være væk. Så er det bare mærkeligt at AVG sagde at jeg havde netsky.d ,når ingen andre programmer siger det.

Hvis stinger ikke finder netsky, så har du det ikke. For stinger er ekspert i netsky..

Får du stadig den tvungen nedlukning??

nej.. Jeg har ikke haft den endnu.

For alle tilfældes skyld skulle du lige lukke porten blaster bruger med dcom som jeg har linket tidligere...

Ja luk dcom..

Scan igen med AVG..

Finder den stadig noget???

prøver lige

Jeg har lige kørt Norton og den fandt:
W32.Mydoom.A@mm to gange
Hacktool.spammer to gange
Backdoor.ranky
PWS.hooker.trojan

Det vil sige du både har norton antivirus og avg antivirus på din pc?

Hvis det er tilfældet skal du skaffe dig af med den ene. 2 antivirusprogrammer på een pc er lig med problemer

Du skal stadig have deaktiveret din systemgendannelse...

Online scan med både panda og housecall her : http://www.arlet.dk/faeetvirus.htm

Slet hvad de finder..

Finder de noget???

Den fandt ikke noget med panda. Lige nu søger jeg med housecall.
Er der egentligt nogen risiko for, at nogen har været inde og rode på min pc? Fordi der var denne Hacktool, og bagdør.. Jeg aner ikke så meget om virus og bagdøre.

Det er umuligt at sige. Der skal du ind i nogle andre logs, som jeg ikke kender til..

Men risikoen er der

Sådan. Nu har jeg testet med både AVG, panda, og household, og ingen af dem fandt noget.

Jamen hvis du så nøjes med at benytte et antivirusprogram, er du fri for at de finder virusser og worms hos hinanden ;O)

så kan du aktiver din systemgendannelse igen

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

mange tak for hjælpen :)

Det var så lidt. Det skal ikke være en anden gang. Kan jeg forstå....

Andersenph -> Her er lidt til at dulme smerten : http://www.eksperten.dk/spm/490695

hvad mener du??

Jeg laver alt forarbejdet og finder din fejl der består i at du har flere antivirus programmer liggende der forstyrrer hinanden
Og så afviser du mit svar.
Tak for ingenting...

jammen.. Hvis jeg kunne give jer begge to point vil jeg da også gøre det.

Elxx -> Vi har klaret det selv.

men du skylder vist en tak til andersenph

Du skulle have markeret begge navne og trykke accepter.

Eller tryk avanceret..

Hvis du ikke var klar over at du kunne acceptere begge vores svar trækker jeg mit brok tilbage :O)

sorry.. det er jeg ked af. Jeg er vant til kandu.dk, så jeg troede det var det samme. Jeg skal huske det til næste gang.. Undskyld igen.

Det er bare i orden :O)

Jeg fandt senere ud af, at jeg manglede nogle systemfiler, så windows gad faktisk ikke starte op igen. Heller ikke i fejlsikret tilstand.
AVG poppede stadig op med at den havde fundet netsky.D og netsky.Q. Under søgning fandt den intet.
Nu har jeg lavet en reinstall af xp. Så vil jeg håbe det er løst.