Søg
Avatar billede thb Nybegynder
28. april 2004 - 19:08 Der er 50 kommentarer og
2 løsninger

hvordan fjerner jeg Polybot

Hey alle

Jeg får afvide at jeg har en virus der hedder polybot.
Det er når jeg kører programmet Stinger.

Hvordan får jeg den væk..???

Thomas
Avatar billede thb Nybegynder
28. april 2004 - 19:10 #1
Og hvordan fjerner jeg en der hedder nimda.eml ??? Den har jeg åbentbart også...
Og Pate.b ????

Thomas
Avatar billede arlet Juniormester
28. april 2004 - 19:16 #2
Først online scanne med panda og housecall her : http://www.arlet.dk/faeetvirus.htm

Hvad finder de??
Avatar billede bartfreak Nybegynder
28. april 2004 - 19:22 #3
ellers skulle trend kunne ta´ den.
http://housecall.trendmicro.com/housecall/start_corp.asp
Avatar billede bartfreak Nybegynder
28. april 2004 - 19:22 #4
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_PARITE.B
Avatar billede arlet Juniormester
28. april 2004 - 19:24 #5
Bartfreak -> Forskellen på min link til housecall og dit link til trend ligner ufattelig meget hinanden*GH*
Avatar billede bartfreak Nybegynder
28. april 2004 - 19:29 #6
sorry..
havde ikke checket din side, og for iøvrigt fejl, og IE må lukke..hvorfor det..??
Avatar billede bartfreak Nybegynder
28. april 2004 - 19:31 #7
okay.. den loadede din gamle side.. el. en anden side 1... sletter lige min cache..!
Avatar billede arlet Juniormester
28. april 2004 - 19:34 #8
betyder ikke noget..

Har haft et par besøgene, som netop får den fejl som du beskriver..

Aner ikke hvorfor
Avatar billede bartfreak Nybegynder
28. april 2004 - 19:38 #9
forside bliver 1. loadet, derefter den "rigtige"..?
Men nu er der ingen fejl.!
Avatar billede thb Nybegynder
28. april 2004 - 20:17 #10
Okay, men hvad skal jeg så gøre.. :)
Skrive det her, og så kigger jeg på det senere i aften.. :)

Og husk at lægge svar..

Thomas
Avatar billede arlet Juniormester
28. april 2004 - 20:22 #11
Har du scannet med de 2 online scannere??
Avatar billede bartfreak Nybegynder
28. april 2004 - 22:11 #12
og husket at tage systemgendannelse fra..!
Avatar billede thb Nybegynder
29. april 2004 - 00:10 #13
Housecall fandt 22 stk. virus... og rensede 3...

Thomas
Avatar billede bartfreak Nybegynder
29. april 2004 - 00:14 #14
du skal ha´fjernet dem alle. !
Avatar billede thb Nybegynder
29. april 2004 - 00:19 #15
men hvordan... ???

Panda scanningen gik lige ned..
Jeg vender tilbage imorgen.. Bliver nødtil at sove nu..

1000 tak for hjælpen endtil videre..

Thomas
Avatar billede thb Nybegynder
29. april 2004 - 00:20 #16
Jeg har lige sat lidt flere point på.. :)
Avatar billede bartfreak Nybegynder
29. april 2004 - 08:46 #17
iflg. trend, så burde online scanneren kunne tag den..
Slet alt overflødigt, temp mappen, temp.. internet filer, m.m..
ellers kig i regedit>>

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\PINF

den starter i temp mappen som en *.dll(som så kalder sig *.tmp), og inficere så alle *exeér og *.SCR filer.
Så du kan jo holde øje med din temp mappe, for at se om den er der.!
Deler du drev på et netværk, så er det sikkert også inficeret.
Avatar billede arlet Juniormester
29. april 2004 - 12:54 #18
Så må det være tid til en hijackthis: http://www.arlet.dk/hjt.htm
Avatar billede bartfreak Nybegynder
29. april 2004 - 13:31 #19
mon det er fordi, systemgendannelse måske ikke er slået fra..??
er overbevidst om, at hvis man følger vejl. fra trend, så burde det være klaret.
Avatar billede thb Nybegynder
29. april 2004 - 13:51 #20
jeg har fjernet systemgendannelse efter vejledningen på arlets side..
Og da jeg kørte trend så fandt den en masse virus, nogle stod der fjernet ved og andre stod NonAccess eller sådan noget...

Nu har jeg lige sat den igang igen..

Thomas
Avatar billede thb Nybegynder
29. april 2004 - 13:53 #21
Det virker som om at alt virussen ligger på mit backup drev...
Det var der den fandt den der nimda.elm og pate.b
Avatar billede thb Nybegynder
29. april 2004 - 13:54 #22
Her er min log:

Logfile of HijackThis v1.97.7
Scan saved at 13:54:16, on 29-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\svhosts.exe
C:\WINDOWS\System32\raz0r.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\overproof.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [raz0r] raz0r.exe
O4 - HKLM\..\Run: [OverProof Loader] overproof.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [raz0r] raz0r.exe
O4 - HKLM\..\RunServices: [OverProof Loader] overproof.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.2651851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede thb Nybegynder
29. april 2004 - 14:09 #23
Nu er trend færdig og den fandt 15 virus og der står enten 'Non Cleanable' eller 'CanNotAccess'.

Thomas
Avatar billede bartfreak Nybegynder
29. april 2004 - 14:12 #24
http://www.pestpatrol.com/pestinfo%5Cr%5Crazor_trojan.asp
Avatar billede bartfreak Nybegynder
29. april 2004 - 14:17 #25
ftp://ftp.f-secure.com/anti-virus/tools/fsnimda3.exe

kilde >> http://www.f-secure.com/v-descs/nimda.shtml

det er fordi, du skal gå i joboversigt, og fjerne en masse 1.
Men prøv pestcontrol, og removel toll fra f-secure til nimba..O)
Avatar billede bartfreak Nybegynder
29. april 2004 - 14:22 #26
her en mere overskuelig vejl.. >> http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
Avatar billede thb Nybegynder
29. april 2004 - 14:48 #27
Jeg er rimelig sikker på at nimda er fjernet nu.. stinger finder den hvertfald ikke noget længere..
Avatar billede bartfreak Nybegynder
29. april 2004 - 15:09 #28
fint..O)

så kan du checke om raz0r.exe stadig er i hjlog..
Avatar billede thb Nybegynder
29. april 2004 - 15:51 #29
trend finder 15 virusser som hedder:

Worm spybot
Worm agobot
bkdr sdbot

Og de er stadigvæk CanNotAccess eller Non Cleanable

Thomas
Avatar billede thb Nybegynder
29. april 2004 - 15:52 #30
den nye log er:

Logfile of HijackThis v1.97.7
Scan saved at 15:52:42, on 29-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\svhosts.exe
C:\WINDOWS\System32\overproof.exe
C:\WINDOWS\explorer.exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\raz0r.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [raz0r] raz0r.exe
O4 - HKLM\..\Run: [OverProof Loader] overproof.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [raz0r] raz0r.exe
O4 - HKLM\..\RunServices: [OverProof Loader] overproof.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.2651851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede thb Nybegynder
29. april 2004 - 15:59 #31
Nu har jeg prøvet at følge vejledningen for at fjerne den der Raz0r men jeg kan ikke lukke den i min task window... Jeg siger slut process og så kommer den et andet sted på listen.. Nu har jeg ellers fundet filen raz0r.exe i windows/system32/

Thomas
Avatar billede bartfreak Nybegynder
29. april 2004 - 16:53 #32
bare slet alt med trend..

og er der et problem bagefter, så lav en repair.
Avatar billede bartfreak Nybegynder
29. april 2004 - 16:55 #33
btw.. pestpartrol burde ha´ taget den..
http://www.pestpatrol.com/pestinfo/b/backdoor_agobot.asp
Avatar billede fromsej Praktikant
29. april 2004 - 18:40 #34
Flyt først filen Hijackthis til en mappe oprettet kun til den.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\Run: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\Run: [ivr] winupdate.exe
O4 - HKLM\..\Run: [raz0r] raz0r.exe
O4 - HKLM\..\Run: [OverProof Loader] overproof.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall Service] svhosts.exe
O4 - HKLM\..\RunServices: [Win Loader1] XzyVxMSJKR
O4 - HKLM\..\RunServices: [ivr] winupdate.exe
O4 - HKLM\..\RunServices: [raz0r] raz0r.exe
O4 - HKLM\..\RunServices: [OverProof Loader] overproof.exe

---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Vælg "Alle filer og mapper", vælg "Flere avancerede indstillinger", sæt flueben i de tre øverste.
---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\svhosts.exe
C:\WINDOWS\System32\overproof.exe
C:\WINDOWS\System32\raz0r.exe
Søg efter filen Winhlpp.exe og slet den.

---------------------------------------
Du skal også lige hente og installere Servicepack 1 samt hotfixes til XP her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
Derefter opdaterer du online hos Microsoft.

Genstart og kom med en ny logfil, så jeg kan se om alt er med.
Avatar billede thb Nybegynder
29. april 2004 - 19:30 #35
Her er den nye log...

Logfile of HijackThis v1.97.7
Scan saved at 19:30:29, on 29-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.2651851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede thb Nybegynder
29. april 2004 - 19:32 #36
Jeg har dog ikke fået installeret de der windows ting, for den ene er ved at blive downloadet, og det andet link til windows side ville ikke virke... Siden vil slet ikke åbne..

Jeg har også lige fået mit start problem tilbage.. Et vindue åbner og siger at computeren lukkes ned inden for 60 sek...

Thomas
Avatar billede fromsej Praktikant
29. april 2004 - 19:41 #37
For at den ikke lukker:
Klik på Start->Kør skriv shutdown -a klik OK.
Hent og kør Dcombobulator, så får du ikke mere Blaster/Gaobot ind.
http://www.spywarefri.dk/tipsogtricks.htm#DCom
Efter en genstart, kom lige med en ny log.
Hver gang du genstarter skal du lige bruge shutdown -a, indtil virussen er væk.
Avatar billede thb Nybegynder
29. april 2004 - 19:53 #38
Ny log...

Logfile of HijackThis v1.97.7
Scan saved at 19:53:12, on 29-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.2651851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
Avatar billede fromsej Praktikant
29. april 2004 - 20:31 #39
Så er der ikke mere snavs i den log, har du stadig problemet med nedlukningen?
Hvilket link virker ikke?
Avatar billede thb Nybegynder
29. april 2004 - 23:31 #40
Undskyld jeg ikke har svaret men jeg har været til træning hele aftenen :)

Det var det der windows update link...

Thomas
Avatar billede thb Nybegynder
29. april 2004 - 23:50 #41
Trend finder stadigvæk nogle virusser...
Kan jeg bare slette dem uden at der sker noget.. ???

Thomas

PS: Det kan godt være at jeg først vender tilbage efter weekenden.
Avatar billede fromsej Praktikant
30. april 2004 - 00:11 #42
Ja, det kan du roligt.
Kom lige med navnene på de virusser.
Avatar billede thb Nybegynder
30. april 2004 - 00:13 #43
Det var de samme som tidligere..

Worm spybot
Worm agobot
bkdr sdbot

SÅdan ca. der er vist også . og et bokstav i enden...
Avatar billede thb Nybegynder
04. maj 2004 - 15:47 #44
Hey... Jeg fik lige en slags tilbage fald, så der var virus over det hele igen...
Men nu tror jeg at jeg har fået styr på det hele igen..

Logfile of HijackThis v1.97.7
Scan saved at 15:46:39, on 04-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ICQLite\ICQLite.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thomas\Skrivebord\hjt\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmer\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38105.2651851852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

Thomas
Avatar billede fromsej Praktikant
04. maj 2004 - 21:20 #45
Fin ren log, har du opdateret din windows i dag, ellers gør det.*S*
Avatar billede thb Nybegynder
04. maj 2004 - 21:57 #46
Den vil ikke opdatere... nu har jeg fået et IE problem.. alle links med _blank vil ikke blive åbnet.. dvs at når jeg trykker installer opdateringer inde på windows update så sker der ikke noget...

Hvad skyldes mit browser problem ??

Thomas
Avatar billede fromsej Praktikant
05. maj 2004 - 18:20 #47
Prøv lige at installere en trojanscanner som TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne eventuelle trojanske heste fra din computer.
Avatar billede thb Nybegynder
06. maj 2004 - 18:06 #48
Jeg tror at jeg har fået stoppet alle viruser, selvom at jeg har været tæt på at give op.. Virusserne formerede sig nærmest imens at jeg prøvede at fjerne dem..

Kan alle der har hjulpet ikke lægge et svar..
Tak for hjælpen....

Thomas
Avatar billede fromsej Praktikant
06. maj 2004 - 19:28 #49
Så længe du ikke har opdateret din XP vil du blive ved med at få de virusser ind.
Avatar billede thb Nybegynder
06. maj 2004 - 20:05 #50
det har jeg også gjort nu...

Jeg har lukket DCom og opdateret windows... Jeg tror det er lykkedes..

Thomas
Avatar billede fromsej Praktikant
06. maj 2004 - 21:37 #51
Godt. (o:
Lidt læsning om sikker surfing:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/284
Avatar billede fromsej Praktikant
10. maj 2004 - 09:00 #52
Tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
I går 14:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
15/0511:50 Vælg indstilling - blå skærm med med flere muligheder for fejlretning Af Uvanga i Windows
14/0523:24 Google sheets beregning udfra dato Af rickiegrayholm i Office & Kontorpakker
White papers
Flere white papers »