virus der ikke kan slettes ved at formatere harddisken

Du har garanteret ikke opdateret dit Windows XP til ServicePack2 (SP2) FØR FØR FØR nogen som helst kontakt til internettet
"Ubeskyttede pc’er holder i 20 minutter]":
http://forum.mib-eu.dk/forum_posts.asp?TID=44

Og så sker der typisk lige præcist det som du oplever.

Hvis jeg tar en RÅ XP (ikke opdateret - ikke antivirus - ikke ...) og klasker direkte på nettet så går det typisk 30 SEKUNDER til 5 minutter og så er der 'snavs'/virus indenfor !!!
Og det UDEN at have aktiveret InternetExplorer ...

... alle de nævnte "errors go to www.fixit.com to get a free scan... eller ... go to www.regfix.com osv." er bare lokkemad til at få det endnu værre ...

Virussen opstod mens windows var opdateret.

hvordan havde du tænkt dig jeg skulle få fat i sp2 uden at komme på internettet?

Denne meddelse har jeg netop fået:


Dit system kan være sårbar mod Serwab. Vi anbefaler dig at DOWNLOADE
eet af disse sikkerhedssoftware for at undgå malwareinfektioner i fremtiden.

En skadelig virus Serwab blev aktiveret i Juni 2006 og har begyndt at skade og ødelage data på computer der den har nået. Denne meget farlige virus har allerede smittet og ødelagt over 1.000.000 PCer i forskellige lande, og den fortsætter at sprede sig gennem Internet.

Hvis du aktiverer XPs firewall inden du kobler dig på nettet, så kan du opdatere i fred

http://support.microsoft.com/?scid=kb%3Bda%3B283673&x=9&y=9

det er jeg ikke så sikker på. Firewallen er på automatisk og popup vinduet kommer efter 10-40 sec efter jeg går ind på windows update

jeg undrer mig også over at det er nøjagtig den samme virus der rammer mig hver gang uanset hvilken pc jeg bruger. Med en dynamisk ip addresse burde min forbindelse da ikke kunne spores, med mindre virussen har ramt tdc´s server eller hvad ved jeg???

... var XP opdateret med ServicePack2 FØR FØR FØR første forbindelse til nettet ?

Jeg kender ingen virus, der kan overleve en formattering. Men jeg kender tjenesten Messenger, som kan bruges til at komme med sådanne meddelelser. Den kan du bare slå fra, så skulle problemet være løst:

Brug denne til at lukke messenger servicen, som ellers tager popups med sig – din messenger virker stadig selvom servicen stoppes.
http://grc.com/files/ShootTheMessenger.exe
Kør programmet og vælg Disable Messenger:

Du kan finde brugsanvisningen her:
http://grc.com/stm/shootthemessenger.htm

Jeg er rimelig sikker på at du ikke er inficeret, men at det er falske alarmer, som du præsenteres for. Men et check kan du foretage med denne scanner:

Hent Dr. Web, og gem det på skrivebordet:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart til fejlsikret tilstand (tryk F8 under opstarten)

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver "Select object for Scanning" nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på OK, for at komme ud til hovedmenuen igen.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen CureIt.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Vejledning i billeder findes her:
http://fromsej.dk/Vejledninger/html/drweb.html

Hvis den (mod min forventning) finder noget, kan du prøve at lave en log med Hijackthis, som du lægger herind til gennemsyn:

Download Hijackthis:
http://danborg.org/spy1/HJT/hijackthis.exe

Kør Hijackthis.exe fra en mappe som du opretter til formålet:
Klik på "Do a systemscan and save a logfile". Efter kort tid åbnes et notepad-vindue med en logfil. Kopiér indholdet af denne logfil herind i denne tråd. Jeg vil fraråde at du selv begynder at fixe noget.

Du har tusivis af 'lokkemads'-elementer på din putter...

Anbefale at "begynde" forfra - med følgende:

Hent ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende medie. (CD/USB Memorystick/Anden HD/...)
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler XP (fuld formatering) ifølge http://www.helgec.dk/xp-install.html + http://www.it-knowlegde.dk/windows_xp_install.html
Instaler derefter SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet. Der skal nok være >50 'pakker' ...

Good Luck...

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)

Desuden ->
http://www.spywareinfo.dk/manualer/sikkerhedspakke.htm

Du kan være 100% sikker på at virussen er slette når du formatterer!

Mht. din såkaldte dynamiske IP adresse, det eneste dynamisk betyder er at din udbyder KAN ændre din IP adresse, ikke at de gør det hele tiden. Brugere kan sagtens opleve at have den samme globale IP adresse i flere år, så har en ondsindet side/server/inficeret maskine eller andet fået øje på dig vil den blive ved med at forsøge at "inficere" dig indtil du har installeret firewall, opdateret, installeret antivirus osv.

Er du sikker på at det er en router du har fra TDC og ikke bare modemet? Hvis ikke kan det være en god ide at anskaffe en router til at "lukke af" så din computer ikke er direkte på nettet, men bag en router/firewall.

Netkablet ud, indtil du har slået firewallen til.

Hør nu her, folks. Tjenesten "Messenger" kan altså ikke bruges til at afgøre om man har virus på computeren. Den kan derimod bruges til at nogen PÅSTÅR at der er virus på computeren. Men det kan de altså ikke vide noget om. Derfor skal man ikke tage påstanden for gode vare. Det er en falsk positiv.

Dermed ikke være sagt, at der ikke KAN være virus på computeren. Men det er meget usandsynligt, hvis computeren lige har været formateret.

Mange tak for alle de kommentarer i er kommet med så hurtigt. Jeg har nu fået liv i min bærbare som ikke er inficeret, og vil dermed prøve at downloade Service pack2 til en  cd. Jeg må indrømme jeg er bange for at virusen nåede at opsnappe oplysninger fra min gamle pc så jeg må vel hellere igang med at ændre passwords osv :(.

Har nogle af jer gode erfaringer med System doctor og pc tools antivirus?

... vil mest henvise til http://www.spywareinfo.dk/manualer/sikkerhedspakke.htm

Samt
RegCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm

Safe Surfing...

PS: Se også
http://www.hcma.dk/tips11to20.htm#no12 - nummer 12
http://www.hcma.dk/tips11to20.htm#no11 - nummer 11

Jeg jumper ud her, da jeg alligevel åbenbart taler for døve øren. Opretter vil åbenbart helst lytte til at ulven kommer, og så skal jeg da ikke forstyrre...

Du bedes venligst afvise mit svar ovenfor, når du engang kommer til at skulle lukke tråden, eftersom du jo har valgt at lytte til andre råd i tråden. Du kan så trøste dig med, at tjenesten messenger vist er slået fra automatisk, når man installerer ServicePack2.

Ejvindh jeg vil nødig i en diskussion med dig, som vil dreje fokus væk fra problemet, men bare fordi jeg ikke gir feedback til dine kommentarer er jo ikke nødvendigvis tegn på at jeg ignorere dig. Jeg er bare ikke typen der skriver uanede mængder af indlæg på nettet konstant, så jeg holder mig til det der lyder mest rimeligt, og dr1 var altså også først med en kommentar som ser ud til at løse mit problem.

Nu er det lang tid siden jeg sidst har brugt www.experten.dk , men er det ikke noget med at man kan "splitte" sine point op til flere brugere?

hvis det er muligt vil jeg med glæde give Ejvindh 60 point og dr1 140 point.

kom med et "svar" dr1 så jeg kan tildele dine point også

endnu engang tak for alle kommentarene til mit store problem (synes jeg selv :)

Ping...

(Det var et [svar]...)

http://expfaq.1go.dk/?id=21#mere_end_et_svar

Det er ikke for at spille fornærmet, og jeg kan også godt forstå, at det kan være svært at vurdere når man modtager indlæg, der går i modsat retning, og man vel netop har oprettet spørgsmålet fordi man ikke ved hvad svaret er.

Jeg tillader mig dog at mene, at jeg finder det meget usandsynligt, at en pc i gennemsnit skulle blive inficeret indenfor 30 sekunder til 5 minutter, hvis man ikke begynder at besøge diverse hjemmesider. Det kunne jeg godt tænke mig dokumentation for.

Og dertil kommer stadig, at der ikke findes nogen indbygget funktion i XP, som kan advare dig om infektioner, medmindre du selv installerer det. Derfor er de meddelelser fra tjenesten messenger fup og fidus.

Når jeg skriver at jeg ikke vil have point her, så mener jeg det alvorligt. Jeg synes ikke du har fået de bedste råd ud af det, og derfor vil jeg nødig "tjene" noget på det.

... hvis jeg tar en RÅ XP (endnu ikke opdateret) og tilslutter internettet direkte så går der 30 SEKUNDER - 5 MIN. så er der kommet "uønskede" elementer ind... og det uden at starte IE...

Er prøvet flere gange - som forsøg...

Nu har jeg desværre ikke en rå XP, som jeg kan teste det på (min installations-cd har SP2 præinstalleret), men jeg kunne da godt være interesseret i at høre, hvad det er for nogle uønskede elementer, du har fået ind på denne måde?

Jeg tror de fleste kender blaster og sasser ormene. De kan komme ind uden brugeren behøver at foretage sig noget som helst (kun hvis XPs firewall er deaktiveret)

... blaster og sasser ormene... nemlig...
Og så dette Tjenesten "Messenger" halløj - - - -

Jeg tror også, at de fleste vil mene at der hverken har været sasser eller blaster på denne computer.

Og at tjenesten messenger ikke kommer udefra, men er en del af styresystemet. Og at det er meget velkendt, at når den er åben, kan man modtage sådanne beskeder, som intet har på sig.

Det er selvfølgelig rigtig, at det teoretisk set KAN ske, at man bliver inficeret i den tid, der går fra man går på nettet til man har fået opdateret. Jeg mener bare det meget sjældent sker. Nu har jeg efterhånden renset mange computere uden ServicePacks. Og jeg er faktisk aldrig stødt på en computer med Blaster eller Sasser. (det skal også siges, at jeg begyndte først at rense efter deres storhedstid).

Jeg kunne ikke drømme om at koble en uopdateret Windows direkte på internettet uden firewall. Det er ganske umuligt at vide, om man når at blive ramt, og muligheden for at blive ramt af noget er mere end kun teoretisk

At det ikke kun er teoretisk ses jo med disse popups. Det kunne lige så godt være en blaster inficeret computer som kom forbi

Jeg har netop haft en virtuel W98 maskine sat på nettet, som ingen opdateringer havde inde. Efter 7 minutter på nettet, havde den ikke fået noget skidt ind endnu. Jeg er klar over, at der er nogle forskellige infektioner, der kan ramme W98/WinXp, men Blaster og Sasser rammer nu begge systemer.

Morhan: Jeg er enig i, at det er dette man skal gøre. Men blaster og Sasser-infektionerne har nu engang visse karakteristiske træk, som ikke var til stede i dette tilfælde. Det er rigtigt at computere der er inficerede kan bruges som zombi-maskiner til at genere andre mennesker. Men Popups fra tjenesten messenger er nu altså engang ikke tegn på infektion. Det må du da kunne forstå. Tjenesten Messenger har intet med chat-programmerne Messenger at gøre.

Dertil kommer at brugeren skrev, at Firewallen var sluttet til.

Hvis firewallen var aktiveret, ville han ikke modtage beskeder via messenger servicen. Hverken blaster eller sasser kan ramme windows 98

Disse orme var kun to eksempler. Jeg er sikker på at der er meget andet i omløb. Man kan også få orm via en upatchet messenger service

Angående Win98:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
Angående Blaster, ser det ud til at du har ret. Det var jeg ikke klar over.

Men det øvrige du skriver, tyder for mig at se på, at du forveksler Tjenesten Messenger med Chatprogrammet Messenger. En messenger service-meddelelse kan ikke inficere, eftersom den er ren tekst. Man kan så vidt jeg er orienteret ikke engang klikke på de links, som angives.

fra dit link: W32.Sasser.Worm can run on (but not infect) Windows 95/98/Me

Jeg forveklser ikke messenger servicen med msn. Selv om man kun kan sende tekst, er det alligevel muligt at lave en såkaldt buffer overflow i servicen, og dermed er muligheden for en orm tilstede. http://secunia.com/advisories/10012/

Først angående Sasser-linket: Ja, jeg kan også læse. Men pointen var vel også bare, at når jeg har haft en W98-computer på nettet, uden efterfølgende at kunne konstatere, at den er kommet ind (hvilket jeg godt ser mig i stand til at afgøre), så har jeg ikke været angrebet af denne orm.

Angående Messenger Service: OK, Messenge Service KAN altså bruges til at angribe en computer. Men skal vi ikke blive enige om,

1) at fordi at messenger servicen BRUGES, så er det ikke dermed bestemt, at den er brugt til at inficere computeren.

2) at det er rimelig useriøst at skræmme en bruger til at formatere computeren bare fordi man modtager spam beskeder (så var der i givet fald mange, der skulle formatere deres computer, når de modtager emails gennem Outlook/OE klienterne, der kan bruges til infektioner på samme måde)

3) at hvis der er infektion, så kan det i de fleste tilfælde afgøres rimelig hurtigt; og at det ofte kan fjernes på en nemmere måde end en formatering

4) at selvom det teoretisk set er MULIGT at blive inficeret med det samme man kobler på nettet, så er det altså skræmmekampagne at sige, at det gennemsnitligt foregår indenfor de første ½-5 minutter.

Man kan selvfølgelig altid diskutere hvad der er et rimeligt niveau af sikkerhed. Jeg går også ind for, at man bør opdatere og sætte firewall på, inden man kobler op. Men disse foranstaltninger giver jo heller ikke 100% sikkerhed. Vil man være 100% sikker skal man holde sig væk fra nettet. Derfor vil jeg mene, at

...vores forpligtelse er, at finde et passende niveau, og ikke køre Kruse-linien, hvor man råber 3.verdenskrig hver 14. dag.

Nå, jeg kan se, at det giver dårlig karma at argumentere for sin sag. Så det vil jeg holde op med. Den efterfølgende diskussion var ellers ikke ment som en kritik af opretter, hvilket jeg troede jeg havde gjort klart. Jeg syntes bare det var ærgeligt at opretter nu var endt i en situation, hvor han føler at han er nødt til at skifte alle sine passwords ud. Det kunne sandsynligvis være undgået. (bemærk at hvis du har PC bank er det i givet fald muligvis ikke nok at skifte password -- selve krypteringsnøglen (hvis en sådan haves) skal da også udskiftes).

Derudover undskyld at jeg ikke holdt ord om at jumpe ud af tråden tidligere. Hvis nogen vil diskutere videre kan man enten oprette en "diskussionstråd", hvis det skal være offentligt -- eller man kan maile til mig. Som kontakt-adresse kan man bruge: 75kiovb02 [snabel-a] sneakemail.com