Vira på bootblokken, bla Azusa, Russian Flag/Mirror

kan du sende mig en log fra hijackthis?
www.arlet.dk/hjt.exe
vil sige jeg hurtigt finder ud af om jeg kan hjælpe dig med den eller ikke.. ved ikke om hijackthis er nok, men det fint hvis det bare kan hjælpe mig på vej.

Det vil jeg lige rabejde på.  Har ikke rpøvet det før, men har luret lidt på vejleningerne.  Havde frygtet det var det der skulle til *S*  Vender tilbage lidt senere.  Og tak

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

genstart i fejlsikret tilstand.

start programmet vi lige hentede

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Skal jeg gøre det før, jeg kører Hijackthis?
Og hvordan er det nu man opstarter i fejlsikret tilstand?

ja må du meget gerne.. tryk f8 før windows loade:)

Det var jo let nok, hvis det ellers bare var det.  Så nu går jeg videre til næste

Logfile of HijackThis v1.99.1
Scan saved at 10:16:11, on 06-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WLAN\802.11 Wireless LAN\WWlanMonitor.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ejer\Dokumenter\Download\Hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WLAN Monitor Utility.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hmm.  Der sker ikke en disse når jeg trykker F8 under opstarten.  Hverken når jeg genstarter, eller når jeg slukker helt og starter. 
Har prøvet med f8 både ved det første "sorte skærmbillede" og forskellige steder i opstartsprocessen!??

nu plejer den ellers at give mig valget 3-4 gange under opstarten.  Men det er kun når computeren tændes efter at have stået tændt (og ubrugt?) i flere timer.

Nå så fandt jeg ud af det

Så er spyewareinfo klar.
hvad skal jeg videre gøre?

Er desværre kun kortvarigt på nettet det næste stykke tid.  Først efter kl 20 forventer jeg at være på i længere tid igen. 
Men vil nok kunne komme til at chekke eventuelle "ordrer"/vejledninger i løbet af dagen.
foreløbigt tak for hjælpen

Det var mig der vejledte dig i det tidligere spørgsmål, og jeg vil stadig stå ved min vejledning fra den gang. Gør det igen og så er ethvert spor af Azusa og Russian Flag vira'ene væk. Opdater din virusscanner og kør en fuld scanning af din harddisk og lad den scanne alle filer igennem. Så ryger også evt spor at Mirror-virus'en.

Alternativt kan du  køre det removal tool som er nævnt i mcafee's artikler om Azusa og Russian flag. Bootscan. En vigtig ting i så fald er at du IKKE må lave boot disketten, eller disketten med bootscan på den "måske inficerede" computer, da den vil inficere disketten med det samme, og så er du lige vidt.

Jeg synes faktisk du skal prøve den bootscan procedure, idet den sikkert vil fortælle om den fandt vira i mbr'en. Så proceduren er således:

Download en windows 98 bootdiskette herfra:
http://www.dehning.com/download/utilities/bootdisks/boot98.exe
Dobbeltklik den og den vil lave en bootbar windows 98 diskette.

Formater så en endnu en diskette og download denne:
http://download.nai.com/products/mcafee-avert/em_dats/emscan.zip
Udpak filerne over på den formaterede diskette.

OBS !! Disse disketter må IKKE laves på den inficerede maskine !!!!

Boot så på windows 98 disketten, og når du får a:\> prompten, udskifter du windows 98 bootdisketten med den anden med bootscan på og skriver denne linie:
BOOTSCAN C: /BOOT /CLEAN /NOMEM
og trykker enter.

Når den er færdig er ethvert spor af boot vira væk og forhåbentlig fortæller den også om der var en virus i mbr'en.

Azusa:
http://vil.nai.com/vil/content/v_162.htm
Russian flag:
http://vil.nai.com/vil/content/v_1480.htm
Mirror:
http://vil.nai.com/vil/content/v_798.htm

Boot vira'en kan KUN komme fra andre inficerede boot records så derfor er alle dine disketter under mistanke for at indeholde boot vira, også selvom de ikke er bootbare.

Kig også i din bios, om der er et punkt der hedder boot block protection og slå det til når du er 100% sikker på at maskinen er ren. Så kan den nemlig ikke inficeres mere.

Hej igen Tonny :-)

Jeg kigger lige på dine råd, får nok ikke afprøvet dem med det samme.
Foreløbig har jeg dog et par yderligere spørgsmål til det du har skrevet.
Er det ok med windows 98 boot diskette når jer kører windows XP?
Skal jeg slå boot block protection fra før jeg kører bootscan?

Det er ok med en windows 98 diskette da den blot skal boote på den.

Ja, du skal slå boot block protection fra før du kører bootscan, da den ellers ikke kan rende boot blokken. Slå den gerne til igen med det samme du har renset den og inden du starter windows op igen.

Bootscan, vil det også fjerne russian mirror? Jeg var inde og se på linket fra mcafee, og der ser det ud til at den godt kan inficere andre filer også?
Og jeg har kørt opdaterede antivirusser gang på gang uden at de har fundet Russian Mirror.  er der andet jeg kan gøre for at fjerne den, hvis den stadig er der.  Og kan jeg finde ud af om den stadig er der.
Antivirus har kun fundet den den ene gang hvor den fortalte at den var tilstede, men ikke kunne repareres/fjernes.

og hvordan er det lige jeg kommer ind i bios'en?  er det under "press del to enter set up" i opstarts fasen? eller..?
Mbr hvad betyder det? (motherboard?)

Har fundet bios, og fundet ud af hvad mbr er. 
Men...
kan bare ikke få maskinen til at acceptere:
BOOTSCAN C: /BOOT /CLEAN /NOMEM  -komandoen.
Får hele siden svaret: bad command or file name.
Er det rigtigt forstået, at jeg skriver den kommando lige efter A:/ ?
Jeg har også prøvet at sætte mellemrum ind diverse steder.
er det rigtigt, at der skal være mellem foran alle skråstregerne?
Tja sikkert meget simple og indlysende spørgsmål, men jeg er gået istå.
Jeg prøver nok et par gange til, for hvor svært kan det være??

Desuden kom der en fejlmeddelse (lige inden A:/prompten) om "manglende FAT eller FAT32 partition" og at det kunne skyldes:
1 behov for partition
2 tredjeparts diskpartitionerings software
3 virus, der gør at C drevet ikke registreres

Jeg går ud fra at det er pga virus, og at det ikke har noget at gøre med bootscan problemerne?

ang bios: kan du sige, hvor jeg skal søge efter boot block protection?

Kiggede lige på udpakningen af bootscan igen, og så var der ingen problemer.
Men der fandtes ingen vira. Resultat:
mbr: 2
posssibly infektet 0
boot sectors 1
possibly infected 0

ER der slet ingen vira?  Men det kan vel ikke passe, når de(n) er fundet af Norton en enkelt gang uden at være repareret eller sat i karantæne.

Jeg er på vej i seng, men arbejder lidt videre i morgen.
Forløbig tak for hjælpen
Sanne

Bootscan fjerner ikke mirror, da det ikke er en bootsector virus, men istedet for en vira der inficerer exe filer. Mit bud er at den virus var på en cdrom eller en skrivebeskyttet diskette og derfor kunne Norton ikke fjerne den. At Norton fanger den er tegn på at din virusbeskyttelse er ok. Virus'en er også så gammel at enhver virusscanner kender den og vil fange den, hvis den var der.

Tryk DEL under opstart for at komme i bios, altså når du ser denne meddelelse: "press del to enter set up"

Mbr er master boot record, og det er det første spor på et medie. Det læses altid når mediet accesses, og derfor vil en maskine automatisk blive inficeret hvis en diskette med en bootsektor virus isættes, hvis ikke  virus beskyttelsen er iorden.

Og nej, når bootscan ikke kunne finde en virus i bootsectoren, så er der ingen virus. Som sagt var den nok på et eksternt medie.

Tak for svar.  Det er jo dejligt, at jeg ikke har virus.  Men så er jeg bare helt blank med, hvad der så kan forårsage de opstartsproblemer jeg har.

Det med, at når jeg starter op, får jeg som regel det skærmbillede, hvor man får valget mellem at opstarte i sidste kendte velfungerende konfiguration, i fejlsikret tilstand eller opstarte windows normalt.
Der taster jeg opstarte windows normalt, og kan riskikere at skulle igennem opstarten med det førnævnte skærmbillede op til 4 gange.
Det sker som regel ikke når jeg genstarter, og heller ikke når jeg tænder computeren et par minutter efter at den er slukket.  derimod kommer det 99% sikkert når jeg tænder computeren første gang om morgen, og hvis den har været slukket længere tid i løbet af dagen?
Problemet har været til stede i et årstid.  Det forsvant efter jeg formaterede harddisken i januar...dvs en uges tid, så kom det igen.  Og det var ok et par dage efter jeg reparerede bootdisken efter råd fra dig.  Men så kom det igen, og nu er det så igen oppe på 3-4 opstartsforsøg før windows endelig startes.

Har du noget bud på hvad årsagen kan være til det, når det nu ikke er virus som jeg troede.

Umiddelbart nej.
Men der er nogle ting du kan forsøge for at spore dig ind på hvad problemet er.
Opdater bios til den nyeste version.
Hjælper det ikke, så undersøg din harddisk med et værktøj fra producenten og find ud af om der skulle være en fejl på den. Ultimate boot cd har testværktøjer til de fleste mærker hd'er, samt en masse andre værktøjer: http://www.ultimatebootcd.com/download.html
Check i bios og se hvor varm din cpu bliver.

Det skal siges at min søns pc have et problem der lignede dette lidt, og det lykkedes aldrig at finde fejlen. Vi skiftede bundkortet i den tilsidst og løste problemet på den måde.

Fik du løst problemet eller stillet en diagnose ?

Hej Tonny
Svarer lig lidt mere fyldestgørende senere.  Men Nej.  kæmper stadig.

Hej Tonny

Håber du ser dette.  Jeg har nu på en måde fået løst problemet.  Jeg har købt et nyt bundkort.  og indtil videre lader det til at alt fungerer godt.  Men tak for din hjælp og undskyld den lang svartid.  Hvis du poster et svar, skal jeg sende point.

tak sanne

Ok, godt du har fået løst problemet *s*

Her er svaret ..

Sådan ;-)
God dag
Hilsen
Sanne