Søg
Avatar billede hope2 Nybegynder
08. marts 2005 - 14:13 Der er 11 kommentarer og
4 løsninger

Gaobot i - NT server

Er der nogen der ku' hjælpe mig med at blive af med ovennænte virus på en NT server på et lille netværk?
Norton Antivir siger at systemet er inficeret med virusen: W32HLLW.Gaobot i C:\WINNT\System32\spool\PRINTERS\00016.SPL
Samtidig siger det at adgangen til filen blev nægtet. Jeg har prøvet foskellige ting, hvor det er lykkedes mig at "fjerne" den og lavet en scanning uden at den finder noget. 2 dage senere er  den der igen.
Har blandt andet prøvet at scanne med Housecall. Den finder ikke noget.
Er der nogen der har et bud?
Jeg lægger lige en hijack logfil hvis det evt. kunne være til nytte.??

På forhånd tak Hope2

Logfile of HijackThis v1.99.1
Scan saved at 10:07:20 AM, on 3/8/05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\System32\LOCATOR.EXE
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\esserver.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\loadwc.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Navnt\navapw32.exe
D:\Gem\FinnG\Finn\Sundbygård\Server\ProgrammerServer\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://windowsupdate.microsoft.com/?IE
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Gem\FinnG\Finn\SUNDBY~1\WORKST~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Norton AntiVirus Auto-Protect.lnk = C:\Program Files\Navnt\navapw32.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Program Files\Navnt\navapw32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O13 - WWW. Prefix: http://
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 212.54.64.170 212.54.64.171
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 212.54.64.170 212.54.64.171
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 212.54.64.170 212.54.64.171
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe
Avatar billede kalp Novice
08. marts 2005 - 14:16 #1
jeg ser på den
Avatar billede kalp Novice
08. marts 2005 - 14:22 #2
Hent dette værktøj

http://securityresponse.symantec.com/avcenter/venc/data/w32.gaobot.removal.tool.html


Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O13 - WWW. Prefix: http://

Kør symantec's værktøj

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Der er ikke så meget i loggen desværre.
Avatar billede tonnybrandt Nybegynder
08. marts 2005 - 14:36 #3
Nøjes med at fixe denne:
O13 - WWW. Prefix: http://

Klik derefter start | run, skriv services.msc og tryk enter.
Find Print Spooler, højreklik den og vælg stop.

Åbn så en explorer og find denne sti:
C:\WINNT\System32\spool\PRINTERS\

Slet hele indholdet af mappen.

Da Norton Antivirus finder virus'en anser jeg det ikke for nødvendigt at scanne maskinen.

Start så Print Spooleren igen.
Avatar billede hope2 Nybegynder
10. marts 2005 - 13:30 #4
Er først kommet tilbage til maskinen i dag, efter at have fulgt anvisningerne fra  Kalp i tirsdags.
Virus er ikke kommet tilbage, så det ser helt klart ud til at have hjulpet.
Gaobot removalTool kunne dog ikke lokalisere virussen. Jeg tror personligt
at det var O13 - WWW. Prefix: http:// der "bare" var problemet; synes at det må være OK at Kalp får point! Ikk?
Tak for hjælpen!
Hope2
Avatar billede kalp Novice
10. marts 2005 - 13:32 #5
Det lyder godt det blev løst:) Du får et svar her:)
Avatar billede tonnybrandt Nybegynder
10. marts 2005 - 13:59 #6
Hvor mnge pc'ere er der på det netværk ?
Avatar billede hope2 Nybegynder
15. marts 2005 - 12:45 #7
Hej Tonny
Der er kun 4 PC'ere som bliver brugt af forskellige brugere
vederlagsfrit i øvrigt, på et lille værested.
Avatar billede tonnybrandt Nybegynder
15. marts 2005 - 13:29 #8
Scan lige de pc'ere for virus, for en af dem har eller har haft gaobot virus'en.
Det er derfor gaobot virus'en er dukket op i printkøen og ingen andre steder på serveren, idet virus'en har scannet netværket efter mulige ofre og fandt serverens printkø (som jo faktisk er et netværks-share) og lagt virus'en der.
Brug evt det removal værktøj kalp lagde link til.

Selve serveren var faktisk ikke inficeret, selvom virus'en lå på disken.
Avatar billede hope2 Nybegynder
18. marts 2005 - 14:11 #9
Til Tonni
Det lyder meget rigtigt. Jeg har "desværre" ghost'et alle klienter siden, så den mulighed er ikke til stede. Mener dog at jeg scannede dem dengang uden NAV fandt noget. I øvrigt har NAV aldrig detecteret virus under en decideret scanning; Den er altid blevet autodeteckteret. Når jeg loggede in på serveren var den kommet typisk 4 timer før. Den har jo optrådt flere gange, ikke altid i printkø'en, men typisk på serverens D drev( en share)? Hvor den f.eks har sagt D:/stone.exe er inficeret med W32HLLW.Gaoboti adgang til filen blev nægtet.
Når jeg så har søgt efter den pågældende fil, har jeg aldrig kunne finde den, selv om jeg viser alle skjulte filer & mapper.
Da den stadig ikke er dukket op igen, har jeg derfor valgt at give Kalp point'ne, da det jo trods alt blev "løst" via hans svar d. 8/3
Atter en gang tak for god og hurtig respons
:-) Hope2
Avatar billede tonnybrandt Nybegynder
18. marts 2005 - 14:25 #10
Jeg vil da gerne svare.
Problemet er ikke løst via kalps procedure. Det eneste den gjorde var at rette en mindre fejl i registreringsdatabasen hvor http protokollen var i den forkerte zone. At kalp tager nddeagnt med i hans procedure, må du få ham til at forklare hvorfor, idet der i vejledningen til HiJackThis direkte står at den skal man ikke fixe.
Mht Gaobot removal tool'et skriver du jo selv at den ikke kunne finde virus'en.
Om Kaspersky scanneren fandt noget ved jeg ikke, da du ikke har skrevet noget om det.

Når Norton autodetekter en virus, den ikke kan cleane, flytter den virus'en til quarentine og sletter den fra drevet. Det er derfor du ikke kan finde de vira efterfølgende. Kig i quarentine. Der finder du de vira den har fundet.

Jeg har det helt fint med at du tildeler kalp pointene, men jeg synes ikke du skal "leve videre" i den tro at det var den procedure der løste problemet.

Det blev løst, da du ghostede klienterne.
Avatar billede tonnybrandt Nybegynder
18. marts 2005 - 14:27 #11
For at tildele kalp point og lukke spørgsmålet, skal du lige markere hans navn nede til venstre og trykke accepter.
(ifald du ikke vidste det)
Avatar billede hope2 Nybegynder
21. marts 2005 - 15:30 #12
Tak for kommentaren tonnybrandt
Jeg tror det fremgik i svaret hvor jeg "lukkede", spørgsmålet, at jeg ikke helt synes at den sammenhæng egentlig blev løst. Jeg har kigget i quarentine, men der figurerer ingen. Det eneste sted jeg kan se at detekteret det er i loggen.
Jeg tjekker i morgen og bibeholder altså spørgsmålet åben.

Hope2
PS. Jeg har det ikke "helt fint med" at tildele point i "grams", det er jo ikke det der er meningen med sitet: men da jeg er relativ ny her skal jeg måske også lære "omgangstonen".
Avatar billede tonnybrandt Nybegynder
21. marts 2005 - 16:20 #13
Kig evt i
c:\kaspersky\mwav.log
om Kaspersky scanneren ryddede quarentine området for de vira. Den er jo fuldstændigt ligeglad med at det er Nortons quarentine område. For den er det blot en folder.
(det er en meget lang fil, så du skal nok søge i den for at finde det rigtige sted)

Jeg har så mange point at jeg alligevel aldrig kommer til at bruge dem så 30 point fra eller til betyder intet. Men det betød noget for mig at du gik i den vildfarelse at den procedure var løsningen på problemet.

Når du har en virusscanner der finder gaobot virus'en kan den jo ikke så godt komme ind, og derfor kunne din server ikke være inficeret med virus. Så må man fokusere på hvor de vira er fundet henne og så er det ihvertfald indlysende for mig at de måtte komme fra inficerede klienter, når de bliver fundet i printkøen og på delte drev.
Avatar billede hope2 Nybegynder
01. april 2005 - 13:31 #14
Jeg har kigget i loggen,(ja den er lang), har dog intet fundet, ud over at det var interessant at kigge derinde. Jeg brugte faktisk lidt tid på det.
Gaobot er ikke dukket op siden, så jeg tror lukker spørgsmålet som værende "uopklaret".
Men tak for hjælpen; noget har jeg da fået lært ved at prøve at løse dette lille problem!
Avatar billede kalp Novice
30. september 2005 - 12:11 #15
?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/1222:02 Låse brugt iPad op Af drstein i iOS, iPhone & iPad
27/1219:21 Hvor finder jeg en oversigt over mine spørgsmål Af KurtG i Hjælp og fejl
27/1211:31 TP-Link Wifi extender opsat som accesspoint giver 50% up- og download, Af Uvanga i Wifi
26/1213:05 Hvorfor bliver tiff-filer større ved konvertering til samme format Af KurtG i Billedbehandling
23/1221:36 Gøre Ikonerne lidt større i proceslinjen (Windows 10) Af Ikke-ekspert i Windows
White papers
Flere white papers »