Søg
Avatar billede michaelb.dk Nybegynder
12. marts 2005 - 22:21 Der er 17 kommentarer og
1 løsning

W32.spybot.worm

Har fået virusen: W32.Spybot.Worm
Hvilke af disse skal jeg tjekke?


Logfile of HijackThis v1.99.1
Scan saved at 22:14:14, on 12-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Grisoft\AVG Free\avgwb.dat
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Skrivebord\hijack\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
Avatar billede kalp Novice
12. marts 2005 - 22:44 #1
jeg ser på den
Avatar billede kalp Novice
12. marts 2005 - 22:46 #2
Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for denne linje - luk øvrige programvinduer - klik "Fix checked":

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

Der er ikke spor efter den virus i din log.
Du kan enten køre en fuld scan med dit virus program i fejlsikret tilstand (først lige opdatere det selvfølgelig)
Eller downloade denne scanner

http://www.spywareinfo.dk/download/mwav.exe

kør den i fejlsikret tilstand med hele opsætningen slået til.
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 14:02 #3
Hej kalp tak for det!
Jeg har gjort som du sagde og følgende log skrev mwav:

----------
File C:\WINDOWS\ouapcker.exe
"Trojan.Win32.Krepper.ag" Virus.
Action Taken: File Deleted.

File C:\WINDOWS\msiostts.exe
not-a-virus:AdWare.WinAD.b.
No Action Taken.

File C:\WINDOWS\mserv32.exe
not-a-virus:AdWare.WinAD.b.
No Action Taken.

File C:\WINDOWS\gripo32.exe
"Trojan-Downloader.Win32.IstBar.er"
Action Taken: File Deleted.

File C:\WINDOWS\System32\systr.dll
"Trojan-Downloader.Win32.WarSpy.a" Virus.
Action Taken: File Deleted.

File C:\WINDOWS\System32\dosxpd.exe
not-a-virus:AdWare.Msnagent.a.
No Action Taken.

File C:\WINDOWS\System32\fixmapirs.exe
not-a-virus:AdWare.FindSpy.a.
No Action Taken.

File C:\WINDOWS\System32\autodmfp.exe
"Trojan-Dropper.Win32.Agent.gp" Virus.
Action Taken: File Deleted.

File C:\WINDOWS\System32\docntrop.dll
"Trojan.Win32.StartPage.sl" Virus.
Action Taken: File Deleted.

File C:\WINDOWS\System32\chkntfsfat.exe
"Trojan.Win32.StartPage.vt" Virus.
Action Taken: File Deleted.

File C:\WINDOWS\System32\dskrfuoui.dll
"Trojan.Win32.StartPage.fw" Virus.
Action Taken: File Deleted.
----------

Efter endnu en scan meddelte den:

----------
File C:\WINDOWS\msiostts.exe
not-a-virus:AdWare.WinAD.b.
No Action Taken.

File C:\WINDOWS\mserv32.exe
not-a-virus:AdWare.WinAD.b.
No Action Taken.

File C:\WINDOWS\System32\dosxpd.exe
not-a-virus:AdWare.Msnagent.a.
No Action Taken.

File C:\WINDOWS\System32\fixmapirs.exe
not-a-virus:AdWare.FindSpy.a.
No Action Taken.
----------

Jeg går udfra de sidste 4 filer kan fjernes med Adaware?
Avatar billede kalp Novice
13. marts 2005 - 14:04 #4
Ja eller nu det kun er 4 genstart i fejlsikret tilstand find og slet Dem.

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Se om De er der og slet Dem hvis De er:)

C:\WINDOWS\msiostts.exe
C:\WINDOWS\mserv32.exe
C:\WINDOWS\System32\dosxpd.exe
C:\WINDOWS\System32\fixmapirs.exe
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 14:09 #5
Kan det ikke være farligt, skal windows ikke bruge de filer!?
Avatar billede kalp Novice
13. marts 2005 - 14:12 #6
Farligt? det farligt at beholde snavs i i sin windows folder!:o)
Det er IKKE windows filer.
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 14:21 #7
Okay, mistænkte bare filerne i system/system32 mapperne for at være filer windows skal bruge! Men det er måske bare filer der er blevet lagt derind? I alt fald sletter jeg dem :-)

Tak for hjælpen
Avatar billede kalp Novice
13. marts 2005 - 14:26 #8
Det er snavs og desværre derfor de bliver lagt derind så man ikke skal mistænke Dem:)

Selv tak:)
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 15:43 #9
http://andfan.dk/shiiiit.GIF :-(
Avatar billede kalp Novice
13. marts 2005 - 15:46 #10
til hvad præcis er det du siger shit til? :)

Hvis du tror der er noget galt med window's dll filer skal du køre denne kommando

trykke start-> kør og skrive "sfc /scannow" med din xp cd i drevet så bliver de ordnet
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 15:48 #11
Ikke mig der siger shiit, det er kammeraten der har døbt filen på hans pc, det er der det foregår! :)

Jeg kan ikke finde ud af hvad backdoor.wootboot er for noget, kan kun finde noget her: http://www.antiviruslab.com/description.php?virus=213922&lang=de
Avatar billede kalp Novice
13. marts 2005 - 15:50 #12
hvad er det han har lavet backup af?
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 15:54 #13
Han har ikke lavet backup, filen der er kommet efter et reboot efter at have slettet de 4 omtalte filer!
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 15:54 #14
og systemgendannelse er slået fra, og det foregik i fejlsikret tilstand... :)
Avatar billede kalp Novice
13. marts 2005 - 15:56 #15
han kan jo scanne filen som det eneste ved at højreklikke på den.. men ellers se størrelsen på den og slette den hvis det ikke er noget han kender til.

http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftp
og så bør han opdatere til sp2 ellers bliver han aldrig fri for snavs eller mindre udsat hedder det.
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 15:59 #16
Ok tak for det, vender tilbage :)
Avatar billede michaelb.dk Nybegynder
13. marts 2005 - 16:46 #17
Jeg tror han fik filerne slettet, så de var af vejen, har det ikke blot været backup filer hvis man skulle fortryde sletningen af filerne i system32 mappen? Eller tager jeg fejl ?

Sender linket til ham.
Tusind tak for hjælpen.
Avatar billede kalp Novice
13. marts 2005 - 16:48 #18
Det har det muligvis været... det ikke så tit jeg sletter filer fra min windows folder selv:) men man kan sige hvis det ikke er noget han selv har oprettet så væk med det. og fint hans virusprogram fandt det.:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 00:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
White papers
Flere white papers »