Søg
Avatar billede jogii Nybegynder
17. juni 2005 - 21:55 Der er 16 kommentarer og
2 løsninger

WINAMP.EXE og FIREWALL.EXE i Windows Registry RUN ?

Mine børns pc har haft det meget underligt med internetforbindelsen. Det startede med at maskinen i ny og næ ville genstarte med en underlig "Remote Procedure Call failure, system must be restartet" og en nedtælling på 60 sekunder som faktisk genstartede maskinen med hård hånd. Ingen mulighed for at afbryde genstarten. Efterfølgende var netforbindelsen ubrugelig.

En NETSTAT gav følgende (uddrag af >300 linier:

  Proto  Lokal adresse          Fjernadresse          Status
  TCP    bambi:1419            212.7.250.152:epmap    SYN_SENT
  TCP    bambi:1420            212.7.250.153:epmap    SYN_SENT
  TCP    bambi:1421            212.7.250.154:epmap    SYN_SENT
  TCP    bambi:1422            212.7.250.155:epmap    SYN_SENT
  TCP    bambi:1423            212.7.250.156:epmap    SYN_SENT

Det pågældende program der udførte forespørgslen var WINAMP.EXE. Jeg deaktiverede netkortet og maskinen opførte sig nogenlunde. Jeg søgte maskinen igennem og fandt i Windows\Prefetch en fil der hed WINAMP.EXE-1??????.pf
I Registry fandt jeg under Windows\CurrentVersion\Run en henvisning til "Windows\System32\Winamp.exe", men denne fil findes ikke.

Jeg kørte HiJackThis og det gav følgende:

Logfile of HijackThis v1.99.1
Scan saved at 20:14:33, on 17-06-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Documents and Settings\Lynn\Skrivebord\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programmer\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [Aminova WordSeeker] "C:\Programmer\Fælles filer\Aminova\WordSeeker\Controller.exe" SHORTCUT
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programmer\WZCBDL Service\WZCBDLS.exe


Jeg fjernede Winamp v.h.a. HJT og genstartede. Samme problem. Samt igen en genstart af systemet med 60 sekunders nedtælling.
Derefter viste det sig at FIREWALL.EXE havde overtaget WINAMP's opgave.

Jeg fjernede FIREWALL.EXE med HJT og nu er maskinen ok igen.

HVAD er det jeg oplever? Er det noget der er kommet ind via et klik (så skal jeg opdrage børnene lidt bedre :-), en virus eller er det et netangreb?
Avatar billede majsmarken Nybegynder
17. juni 2005 - 22:29 #1
Meget velkendt - det med de "60 Sec To Shutdown".

http://www.arlet.dk/index.html?/blaster.htm
http://www.hcma.dk/blaster_sasser.htm

Hvis jeg instalere en RÅ XP UDEN M$'s ServicePacks og tilslutter direkte til internettet så går der typisk 2-20 min så har denne Balster/Sasser virus fundet vej - også uden at have aktiveret IE. Prøvet - som test - et utal af gange...
Det er DET som du oplever - fordi du på ingen måde har nogle ServicePakcks på ensige noget som helst WindowsUpdate.

Du får lige sangen:
Ka' de dog ikke snart lære det - samme plade:

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
[1Klik.dk: Ubeskyttede pc’er holder i 20 minutter]:
http://1klik.dk/news_1klik/nyhed_32992.html

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.

Du kan hente SP2 her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende medie.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.

Good Luck... men først når putter er erklæret 'ren' ...
Avatar billede majsmarken Nybegynder
17. juni 2005 - 22:31 #2
Det er rigtigt nok at
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
skal UD
OG filen
C:\WINDOWS\System32\firewall.exe
slettes!!!

Hvad er [Aminova WordSeeker] ???
Hvis du ikke kender den så UD !!!
Avatar billede majsmarken Nybegynder
17. juni 2005 - 22:33 #3
Ren oprydning:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

ka' også smides ud...
Avatar billede majsmarken Nybegynder
17. juni 2005 - 22:34 #4
----
Hent også denne bat fil og kør den:
http://www.spywareinfo.dk/download/cleantempxp2k.bat
den sletter alt i din temp mapper...
----
Avatar billede majsmarken Nybegynder
17. juni 2005 - 22:34 #5
PS.der kommer ingen mails fra Eksperten iøjeblikket pga. fejl fra E's side så der ka gå lidt tid inden der blir svaret...
Avatar billede majsmarken Nybegynder
19. juni 2005 - 16:44 #6
???
Avatar billede jogii Nybegynder
20. juni 2005 - 11:00 #7
Hej m
Tak for dine kommentarer.
Så det var en blaster/sasser orm. Jeg troede ellers ikke at den kunne komme igennem en NAT router. Men fred være med det. Jeg syntes nu også at WinUpdate kørte som den skulle. Hvordan ser jeg om SP2 er på eller ej?
Aminova Wordseeker er et lille program der følger med en lille lommeudgave af Gads Dansk-Engelsk ordbog. Det er min datter glad for.
Er det ikke ok at lade Java opdatere sig?
Avatar billede majsmarken Nybegynder
20. juni 2005 - 11:33 #8
Lige en hurtig:
[WindowsTaster]+[BreakTasten] = Der skulle gerne stå noget om SP1/2...
Avatar billede majsmarken Nybegynder
20. juni 2005 - 11:34 #9
Hvad er status så nu?

Det er rigtigt nok at
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
skal UD
OG filen
C:\WINDOWS\System32\firewall.exe
slettes!!!

Evt. ny log fil hertil...
Avatar billede majsmarken Nybegynder
22. juni 2005 - 10:39 #10
Status ???
Avatar billede jogii Nybegynder
27. juni 2005 - 11:58 #11
Hej M.
Undskyld den sene tilbagemelding. Smid et svar. Jeg fik jo som sagt maskinen op at køre igen inden jeg lavede dette spørgsmål. Den har kørt fint siden. Jeg undrer mig bare at den blev inficeret, da jeg ikke mente at Sasser/Blaster kunne trænge igennem en NAT. Men måske har en inficeret maskine været på besøg på det interne netværk og på denne måde inficeret maskinen.

Hvordan beskytter man en Win98 maskine for Sasser/Blaster (bortset fra at have den bag en NAT/Firewall)?
Avatar billede majsmarken Nybegynder
27. juni 2005 - 21:03 #12
"Beskytte en W98 putter" - tja en af de vigtigste (?) er en WindowsUpdate... også i Wintendo 98 systemet.
Så får du Sasser/Balster hullet 'lappet' på den måde...
Avatar billede majsmarken Nybegynder
27. juni 2005 - 21:04 #13
Bemærk evt. også 17/06-2005 22:33:39 ?
Avatar billede majsmarken Nybegynder
27. juni 2005 - 21:06 #14
Dvs. NU HAR du SP2 instaleret ?

Eller ska' vi lige se en frisk LOG ?
Avatar billede majsmarken Nybegynder
27. juni 2005 - 21:06 #15
Det var [svar] ...
Avatar billede jogii Nybegynder
28. juni 2005 - 10:32 #16
Ja, nu er det sådan at jeg kun kommer på besøg hos min familie (separation), så det er ikke altid jeg har tid til at bruge masser af timer på at vedligeholde deres maskiner. Men maskinen er ok nu, jeg må bare sørge for at det ikke sker igen ...
Avatar billede majsmarken Nybegynder
28. juni 2005 - 19:48 #17
(Jeg - som en anden 'nørd' - har altid en lille USB pen med SP1 + SP2 + diverse værktøjer med min hvor som helst).
Avatar billede jogii Nybegynder
29. juni 2005 - 14:54 #18
Det er ikke så nemt at acceptere hvis der kun er én mulighed ;-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
IT-JOB

Capgemini Danmark A/S

IGNITE Graduate Program 2026

Netcompany A/S

Data Management Consultant

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger chef for Lokal IT i hovedstadsområdet

IT-Universitetet i København

CIO

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Nye kolleger søges til IT Stab i Forsvaret
Seneste spørgsmål Seneste aktivitet
I går 10:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
29/0411:38 JAVASCRIPT omdan ekstern variabel til søjleværdi .. Af snestrup2000 i Programmeringsværktøjer
29/0409:50 jeg mangler hjælp til opsætning af shop og Google ADS Af Hightech i Webhotel
White papers
Flere white papers »