worm.win32.Padobot.gen

Prøv lige at hente, og køre denne scanner. Sæt flueben ved alle options, og scan/clean.
http://www.mwti.net/antivirus/free_utilities.asp

Der ligger muligvis nogle rester som ikke er blevet slettet. Når du har kørt e-scan, så prøv at slå systemgendannelse fra, og genstart computeren ;-) Hvis det ikke hjælper, så prøv at køre e-scan i fejlsikret tilstand. Hvis det heller ikke hjælper, så læg en HijackThis log ind

http://www.spywareinfo.com/downloads/tools/HijackThis.exe


http://danborg.org/spy/HJT/hijackthis.exe


Hvis du ikke ved hvordan: Åbn HJT>scan>save log>den åbner så i notesblok. Copy/paste den herind i tråden.

Har du haft lukket for din firewall fornylig?

Her er også nogle onlinescannere, du eventuelt kan prøve, inden du kopierer en HijackThis-log herind:

Housecall: http://housecall.trendmicro.com/
Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm
BitDefender: http://www.bitdefender.com/scan/license.php

-Jeg kan ikke benytte en online scanner, eftersom computeren fryser før scanningen bliver færdig.
-Firewallen har jeg ikke rodet med. Jeg har nemlig lige installeret windows på en formatteret harddisk, hvorefter dette problem hurtigt opstod.

Prøvede du at køre den lille engangsscanner jeg linkede til? Slå en firewall til, ellers bliver det bare ved. Btw, padabot.gen = Korgo orm, ikke så spændende ;-)

Korgo orm - betyder det, at jeg er seriøst ramt af virus?

Her er Hijackthis-log:

Logfile of HijackThis v1.98.0
Scan saved at 18:56:08, on 26-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\F-Secure\Common\FSM32.EXE
C:\Programmer\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\F-Secure\Anti-Virus\FSGK32.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programmer\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\F-Secure\Common\FSMA32.EXE
C:\Programmer\F-Secure\Common\FSMB32.EXE
C:\Programmer\F-Secure\Common\FCH32.EXE
C:\Programmer\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\F-Secure\Common\FNRB32.EXE
C:\Programmer\F-Secure\Common\FIH32.EXE
C:\Programmer\F-Secure\Anti-Virus\fsav32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
D:\Downloaded\AdAware\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.borsen.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [AcctMgr] C:\Programmer\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Jeg har lige forsøgt, at starte 3 browsers op, hvorefter systemet blev 100% belastet igen. Jeg kunne dog se, at det er processen "cisvc.exe", som optager al cputiden. Giver denne oplysning nogle nye idéer til, hvad der kan være galt?

Din log er ren. Hvis du har kørt scanneren skulle det være ok. Problemet er bare at du ikke burde få den orm, hvis du har en fungerende firewall, så tjek lige den. cisvc.exe er åbenbart et kendt problem, en løsning her http://www.d-a-l.com/help/showthread.php?t=879

Btw, prøv lige at søge på cisvc.exe, og tjek at det er originale filer, bare for en sikkerheds skyld.

Du kan også installere denne lille fil, den lukker "ormehullet" DCOM http://grc.com/freepopular.htm

Hvor er det nu lige, at jeg checker, om mn firewall er sat til?
(den i win xp)

Og hvad er ""ormehullet" DCOM"? Noget vi har snakket om eller hva?

Der er en sårbarhed i dcom tjenesten, som (næsten) ingen bruger alligevel. Den bliver udnyttet af orme, som den du har haft. Det lille program lukker porten helt, og det vil jeg meget anbefale, det giver lige en ekstra sikring. Firewallen tjekker du på netkortet, under "egenskaber"> "avanceret"

Nu er AdwareSpy og XoftSpy jo nogle dejlige programer....men de nytter ikke rigtig noget, da man skal registrere programerne, for at opnå den funktonalittet.

Med hensyn til spyware beskyttelse, kan du jo bruge Spywareblaster, og Spywareguard, og de er jo gratis. Hvordan ser det ellers ud?

Jeg ville holde mig langt væk fra AdwareSpy og XoftSpy. Det er ikke de mest ”heldige” programmer: http://www.spywarewarrior.com/rogue_anti-spyware.htm

Nu har jeg scannet lidt mere end c-drevet med både BitDefender og HouseCall. Men der er ikke fundet noget.
Så kan det være nogle systemfiler, som er fucked up?

Du kan prøve at lave en sfc.

Indsæt din XP-cd i dit drev.
Gå i start
Kør
Skriv: sfc /scannow
(husk mellemrum mellem sfc og /scannow)
OK

Er der nogle systemfiler, som ikke har det så godt, så bliver de repareret og mangler der nogle, så bliver de gendannet.

HouseCall fandt ikke noget på hele computeren....og den tvist med sfc, den mener jeg nu også, at jeg har forsøgt før....

Tjekkede du mit link med den fil fra indekseringstjenesten. Du kan selv stoppe indekseringstjenesten i tilføj/fjern programmer, under Microsoft komponenter. det er den der sluger al den cpu

Firewall:
Gennem Enhedshåndtering - alle mine netkort (3 stk) - der er ingen fane ved navn "Avanceret"...?

Det link, du taler om - er det: http://www.d-a-l.com/help/showthread.php?t=879 ?
For så har jeg været der, og det giver ikke umddelbart nogen løsnng...

Ahh...nu fandt jeg ud af det. Nu tester jeg lige, om det fungerer...

Hvordan kan det være, at indextjenesten ødelægger hele systemet?

Den er åbenbart bare sådan. Hvis man ikke har meget brug for den, bliver det anbefalet at man slår den fra

Firewall, prøv lige at gå i "netværksforbindlser"> "vis netværksforbindelser", der skulle du kunne finde de faneblade

Jeg kan stadig ikke finde noget firewallhalløj. Desuden får jeg ikke helt de valgmuligheder, som du beskrev oven over. Jeg ved ikke, om det er fordi, at du gav fremgangen på en anden maskine end en Windows Xp Pro?

XP Pro, Ok, der er den slået til automatisk, så vidt jeg husker. Prøv lige et tjek af dine porte her http://www.grc.com/x/ne.dll?rh1dkyd2 All service ports.

Btw, har du tjekket om der er flere opdateringer til din maskine på Windowsupdate ?

Hvad skal jeg inde på http://www.grc.com/x/ne.dll?rh1dkyd2 ? Der er jo en masse links...og jeg ved ikke rigtig, hvad jeg leder efter...?

Klik på den der hedder "all service ports", så køre der en scanning i nogle minutter. Hvis alle felter er grønne, er alt ok ;-)

Siden ser sådan ud i min browser:

"
Port Authority Edition – Internet Vulnerability Profiling
by Steve Gibson,  Gibson Research Corporation.

Browser Reload Suppressed
For your security, your web browser's "reload"
function has been temporarily disabled
Allowing a web browser to "reload" a page which has already been sent to you creates a "security hole" that would allow someone using your computer at any later time to attain potentially private and personal information.

To safeguard your privacy we have disabled the browser's "reload" or "refresh" facility while you are in sensitive areas of our web site. Reloading pages will function normally once you have left this area . . . but until then please refrain from "reloading" pages.

You may press your browser's  [BACK]  button now to return to the page prior to the one you were just viewing.

Thanks very much for your interest and patronage.

  Gibson Research Corporation is owned and operated by Steve Gibson.  The contents
of this page are Copyright (c) 2004 Gibson Research Corporation. Spinrite, ShieldsUP,
NanoProbe, and the slogan  "It's MY Computer"  are registered trademarks of Gibson
Research Corporation, Laguna Hills, CA, USA. GRC's web and customer privacy policy.
"

Hvor finder jeg det link på siden?

Unskyld, det er fordi det er en "sikker" side.

Hvis du går ind her, og klikker "proceed", skulle du komme ind på den

He he....går ind hvor?

Det går vist rigtigt godt for mig lige nu, æv :-( Den er her https://grc.com/x/ne.dll?bh0bkyd2

Så fungerede det. Her er resultatet:

Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers. Please see the details presented by the specific port links below, as well as the various resources on this site, and in our extremely helpful and active user community.



Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

Hvad fortæller det os?

Mht det grafiske, så er port alt grønt, bortset fra port 53, som er domain name server (den er blå), og port 80, som jo er web porten (den er rød).

Ah...måske skulle jeg bare smide resuméer herind i stedet for...:

GRC Port Authority Report created on UTC: 2004-08-28 at 20:35:47

Results from scan of ports: 0-1055

    1 Ports Open
    1 Ports Closed
1054 Ports Stealth
---------------------
1056 Ports Tested

The port found to be OPEN was: 80

The port found to be CLOSED was: 53

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                  - NO unsolicited packets were received,
                  - A PING REPLY (ICMP Echo) WAS RECEIVED.

De skal være grønne allesammen. Jeg vil foreslå at du lægger en god firewall i, som f.eks Sygate http://smb.sygate.com/products/spf_standard.htm