Søg
Avatar billede triple-x Nybegynder
25. juli 2004 - 13:55 Der er 30 kommentarer og
3 løsninger

Windows update (Sasser og andet skidt)

Hey eksperter,

Jeg håber nogle af de dygtige folk fra team spywarefri lige har et par minutter,eller en anden kompentent person.

Mit problem lyder sådan, Har sat ny computer op for min mor, problemet ligger dog i at inden jeg når at komme ind og opdatere windows, kommer der spyware og virus ind over alt og derved også blokere for windows update.

Indtil videre har jeg ihvertfald Sasser, som jeg midlertidig har stoppet med shutdown -a

Derudover har jeg et problem som gør at noget ændrer min dato fiktivt så windows update ikke vil søge efter opdateringer, uret i proces linien er korret indstillet, og har også prøvet at koble automatisk opdatering af tid via micosofts hjemmeside fra, intet virker.

I får lige en HiJackThis log at kigge på

Logfile of HijackThis v1.97.7
Scan saved at 13:58:52, on 25-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Skrivebord\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38192.2377893519
Avatar billede jpvj Nybegynder
25. juli 2004 - 13:56 #1
Start med at slå din firewall til på netkortet...
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:01 #2
jpvj - ikke muligt, fanebladet avanceret eksistere ikke.
Avatar billede peet-49 Novice
25. juli 2004 - 14:11 #3
Tag netkablet ud, og se, om ikke du kan aktivere firewall.
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:13 #4
peet49 prøver lige.
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:17 #5
peet49 - det hjalp firewall slået til, og DCOM lukket.
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:18 #6
nu virker windows update også, går igang med det samme med at installere criticals
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 14:22 #7
Sasserfix her http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&displaylang=en
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:23 #8
forevernewbie - mange tak.
Avatar billede peet-49 Novice
25. juli 2004 - 14:25 #9
Ligger et forsigtigt svar.
Avatar billede peet-49 Novice
25. juli 2004 - 14:26 #10
Du skal huske, at deaktivere systemgendannelse inden du scanner for virus.
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:27 #11
peet49 du behøver ikke være forsig med dine svar :) har nok point at give ud af *GG* ja jeg deaktivere systemgendannelse, kører spybot, og fic til sasser, derefter en hiJack log, som du måske har lyst til at kigge igennem?
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:30 #12
forsigtig skulle der selvfølgelig stå :)
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 14:32 #13
Den nyeste version af Hijack This her http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Avatar billede triple-x Nybegynder
25. juli 2004 - 14:36 #14
forevernewbie - ja mange tak, havde ik lige fået set det ik var den aller nyeste, du ligger også bre et svar hvis du vil have del i point
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 14:39 #15
Ok, tak
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 14:47 #16
Det ser ud til at du har mere skidt. Prøv at køre stinger http://vil.nai.com/vil/stinger/
Avatar billede fromsej Praktikant
25. juli 2004 - 14:52 #17
Flyt Hijackthis til en mappe oprettet til formålet.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Hent denne scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Hent også TheKillBox og vejledningen.
http://home8.inet.tele.dk/fbj/TheKillBox.exe
http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm


Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, brug TheKillBox til at slette filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
Brug TheKillBox med indstillingen sletning ved næste genstart.
-------------------
Filer:
C:\WINDOWS\lsasss.exe
wuamgrd.exe
---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

---------------------------------------
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.
wuamgrd.exe står der noget om her:
http://www.sophos.com/virusinfo/analyses/w32rbota.html
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:18 #18
fromsej du er en guttermand :) men vil du ikke hellere have en ny log efter jeg har fået opdateret windows lukket DCOM og slettet sasser?
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:24 #19
Fromsej - jeg har lidt problemer, jeg kan ikke åbne killbox der er en ocx fil der mangler eller er ødelagt.
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:29 #20
-update-
Har fået wuamgrd.exe væk ved at lukke det processen ned og derefter slette filen, dog kan jeg ikke få adgang til at lukke lsass ned da jeg får at vide det er en vigtig system resource dette gør så at jeg ikke kan slette filen i søgningen, det link forevernewbie henviste til mig finder intet mere.(sasser link)
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:32 #21
Logfile of HijackThis v1.97.7
Scan saved at 15:35:27, on 25-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Administrator\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38192.2377893519
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 15:33 #22
Triple x Jeg vil tillade mig at foreslå , at du kører Stinger alligevel. Den kan sikkert fjerne Agabot, og alle evt. rester af den. Jeg er ikke helt sikker på at Hijack This gør dette. Fromsej korriger mig, hvis jeg tager fejl.
Avatar billede fromsej Praktikant
25. juli 2004 - 15:33 #23
Ocx filen kan du hente her:
Missingfiles: http://danborg.org/spy/Spyblaster_Guard/missingfilesetup.exe
Vbrun: http://danborg.org/spy/Spyblaster_Guard/vbrun60sp5.exe
Det er ikke Lsass men LsassS altså et ekstra s.*S*
Jo kom med en ny log, når du er klar til det.
Avatar billede fromsej Praktikant
25. juli 2004 - 15:36 #24
*SUK*
Jeg glemte at opdatere, inden jeg sendte.
Du kan fixe de to her:
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
Ellers er loggen ren og fin.*S*
Vores artikler finder du her, jeg kan ikke huske om du har fået dem, men here goes:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:37 #25
fromsej - altså lsass er ikke spy/virus så ? ;) det er dog også irriterende at de altid skal have naven der ligner så meget.

Har læst jeres artikler, jeg kører den online scanner jeg også hentede og derefter instalere norton, smid et svar så du også får del i point
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:41 #26
Fromsej - du foreslår Ad-aware, er dette fordi du mener at spybot og ad-aware bør kører sammen, eller er en af dem nok?
Avatar billede fromsej Praktikant
25. juli 2004 - 15:44 #27
Lsass.exe er en Windowsfil, og ja det er irriterende at de har enslydende navne, nummeret værre er dog de der har samme navn men ligger sig i en anden mappe, der skal man virkelig være på stikkerne.
Ad-aware og spybot i kombination er nok noget nær optimalt når vi taler freeware renseprogrammer.
Det den ene ikke finder finder den anden som regel, derfor begge.
Avatar billede triple-x Nybegynder
25. juli 2004 - 15:48 #28
Fromsej - nu vi er igang og jeg ved du er ekspert :) så vil jeg gerne høre et forslag til købe program når vi snakker spybot ad-aware programmer.

Ud over det vil jeg hører hvis jeg kører Norton, Spywareguard og IE-spyad. Vil dette være nok eller vil du stadig anbefale spywareblaster og IE privacy keeper?
Avatar billede fromsej Praktikant
25. juli 2004 - 16:01 #29
Købeprogram, der er to jeg kender og som vi vil stå inde for.
Aluria, jeg har prøvet det i trial versionen det er godt nok effektivt, jeg ved at Aovergaard har eller har haft fuldversionen og hun var meget imponeret.
Spysweeper har jeg selv, det har vi på programmet i vores lille butik.*S*
Det er vi også imponerede over, jeg kører uden de andre antispy programmer, men mit behov for at være sikker er også temmelig højt, da jeg sommetider er nødt til at gå ud på nogle af de rigtigt grimme sider i de forskellige logfiler.
Jeg vil stadig mene at du skal have både IE Privacy Keeper og Spywareblaster foruden de andre.
Aluria - http://www.spywarefri.dk/vaerktoj.htm#aluria
Spysweeper - http://www.spywarefri.dk/vaerktoj.htm#spysweeper
Tak for point.*S*
Avatar billede triple-x Nybegynder
25. juli 2004 - 16:04 #30
fromsej - din hjælp burde betales med andet end point :)

Jeg takker for din utrolig gode svar, jeg gør alt for at sætte mig ind i den verden, dog ikke så meget at jeg selv vil kunne hjælpe folk med at holde deres computere rene, men nok til jeg selv kan :) men må ærlig indrømme jeg langt fra kan endnu :) men det kommer nok en dag.

Jeg vil kigge på de 2 købe programmer du anbefaler.
Avatar billede forevernewbie Nybegynder
25. juli 2004 - 16:09 #31
Jep, enig med Fromsej omkring Spysweeper, bruger den som eneste beskyttelse mod spyware, og den gør virkelig jobbet. Også tak for point *S*. Godt du slap af med skidtet *S*.
Avatar billede fromsej Praktikant
25. juli 2004 - 16:32 #32
>>fromsej - din hjælp burde betales med andet end point :)<<
Du kan tilmelde dig vores "nørd" stævne, så kan du give en bajer. ;o)
http://www.clan-ffj.dk/hardwarekast/
Der er stadig ledige pladser.
Avatar billede triple-x Nybegynder
25. juli 2004 - 17:01 #33
så kan jeg fylde bilen op med billige dåse bajere fra tyskland, pt er jeg kun 3 km fra den tyske grænse *GG* , tjekker lige om jeg kan den dag og sådan.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 12:32 iPadOS 26.4.1 kan ikke opdatere Af claes57 i Apps til iOS
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
White papers
Flere white papers »