Til alle som har problemer med 60 sekunders nedlukning

nice forklaring - god at linke til (du burde få nogen point for den)

Tak for tippet. Jeg har undret mig over den fejl her til aften og var ved at gå ud af mit gode skind.

Står på forsiden af Spywarefri.dk

http://download.microsoft.com/download/5/b/9/5b9f0e5a-3536-48d1-b02b-1a2cd36a00de/WindowsXP-KB823980-x86-DAN.exe

Direkte link til DK Patch.

Syntes lige den skulle med :)

God post squashguy, takker for denne info, Stort!!!!

BRAVO, giv den mand livsvarigt Proabonnement.

ja det er fuld fortjent men også til lap
han har sgu også hjulpet en hel del også

jeg har kun samlet sammen fra andre - har ikke selv problemet :-) Jeg stemmer for det livsvarige Proabonnement til squashguy !

det er næsten for meget det her ;)
jeg syntes at alle skulle lade være med at ligge svar og lade spørger beholder point
ellers bliver dette en ren point jagt .. at copy/paste en forklaring på dette er der hverken udfordring i eller fortjener point .. squashguy fortjener nogle point for at have skrevet dette ..
men folk smider store point summer for en gang copy og paste .. det er sq for meget.
eller er det bare mig.

Til helvede med point, det her skal bare bekæmpes, det er IKKE pointjagt lige nu, det er sq noget vigtigere!!!

Jeg er helt enig - lad os stoppe pointjagten nu

Man skulle måske lige tilføje, at er man først blevet ramt, er ens system muligvis allerede blevet kompromitteret. Så der skal scannes for trojanere og andet snusk.

http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

http://www.eksperten.dk/spm/386343

Tak til squashguy. Din info er fremragende. Har tilladt mig at lægge den på forsiden af Spywarefri i en god sags tjenneste. Håber du kan acceptere det. På forhånd tak!

perhaps/Team Spywarefri

Jeg siger også tusind mange tak! For ikke/ex-nørder som jeg, er det enormt fedt, at nogen tager sig tid til den slags, så man slipper for utrolig meget tidspilde. Tusind tak.

En gratis fast trojanscanner er iaften lagt ind på Spywarefri.dk under "Værktøjer" Opdateringer er også gratis og den har heuristic detection.

Kan vi ikke få Admin til at smide linket hertil op på forsiden?
Coadmins nu må i sq få fat i ham!!!

jeg har læst lidt i nogen mailing lists og det ser ud til at det kun er windows xp der kommer med et direkte tegn på fejlen

oversættelse er desværre ikke min stærke side så i får den på engelsk

men meget tyder på at der er ligså mange win2k brugere der har problemet .. vi har bare ikke hørt meget fra dem da deres system ikke crasher .. og der er sikkert også mange der er inficeret med den der ikke crasher dit system og hvad jeg har set så findes den.

-----------------
Hello all,

      Just in case some other security professionals are looking at
identifying if their boxes have been exploited, I've typed up some
occurences after a successful DCOM exploit.

      - Windows XP SP 0 (haven't tried it on SP 1 yet)
        Generates a System Shutdown message after a disconnect.  The
message
indicates that Windows must now restart because the RPC service terminated
unexpectedly.

      - Windows 2000 Professional all SP's
        A Service Control Manager error is reported on the Application Logs
with a message ID of 7031 indicating that RPC terminated unexpectedly.
The
W2K boxes I've tested this on didn't allow me to view the event logs after
exploitation.  A few mmc.exe error messages also appeared.  A quick reboot
appeared alleviate the event log viewing issue.

*Note* This is using the final universal DCOM exploit that was found on
******************************* I've heard there is an exploit
that
does not crash the port though, so an error may not be generated with that
exploit.

      I'll try to include any new effect I manage to gather from my tests.
Did anyone else experience these types of behaviors?  Thanks.

Michael De La Cruz
Information Security Officer
delacruzma@msn.com

----------------------

der er 2 basale exploits i omløb; en hvor dens shell code får dcom til at crashe, og en som ikke gør. Den sidste er den farlige, da man ikke får advarslen om, at man er blevet hacket.

rettelse: der skulle have stået "mest farlige"

her er noget info om den worm som ser ud til at ramme folk hårdt nu.
http://isc.sans.org/diary.html?date=2003-08-11

Taget fra linket.
Efter du har updated/patchet din windows skal du disconnecte fra netværket
og slette filen msblast.exe
du skal også slette registrerings key'en der indeholder msblast.exe
og så genstarte din maskine.

Det vil jeg mene skal gøres i fejlsikret tilstand.

og uden systemgendannelse

loadet >> hvis man ikke har msblast.exe - så er der ikke sket noget?

Har ikke haft tegn på noget!

jo der kan godt være et problem aligevel .. den der er en worm .. men nogen kan have brugt en anden version af exploitet enten manuelt .. eller en hent anden variant vi ikke har hørt om.

loadet >> hvordan tjekker man helt præcis om der er noget?

ja ..efter jeg havde updated windows ville jeg checke min firewall og hvis man ikke har en er det måske på tide af få den. og så ville jeg også gå mine event logs igennem. da der kan være forskellige varianter så er det svært at sige hvad man precis skal kigge efter, men sker der noget mystisk feks på port 135
men det skulle også være muligt på andre porte.

loadet >> Jeg har aktiveret firewall i xp, men på det kollegie hvor jeg bor, og hvor jeg får mit internet fra er der en firewall, så umiddelbart tror jeg ikke at der skulle være sket noget. Man kan ikke scanne på nogen måde

næ du lyder sikker nok .. exploitet kan heller ikke komme ind igennem min router/firewall

her er noget info fra symantec
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

Kan vi ikke lokke bare en der er blevet ramt til at lave en Hijackthis logfil og sende den til spywarefri@webspeed.dk , så vil vi prøve om vi kan finde den derigennem.
http://www.spywarefri.dk/vaerktoj.htm#18
Scan, save log, send loggen som en vedhæftet fil.
På forhånd tak.
Fromsej/Team Spywarefri.

I kan teste om jeres firewalls er gode nok til at holde ormen ude med dette pragtfulde værktøj (og i øvrigt også få set om jeres sikkerhed er iorden)https://grc.com/x/ne.dll?bh0bkyd2 det er ShildsUP! portscan service. Tryk på knappen "Common Ports" lidt nede af siden og se efter om port 135 er "Stealth". Er den ikke det kan jeg kun sige jeg ikke vil stole på at være fri for ormen (uden installering af update).

Iøvrigt bør man også opdatere windows regelmæssigt da det er alle de dovne brugere der ikke gør det der er skyld i at ormene lever!

Her er removal tool og en masse info.
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Direkte til tool.
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
http://securityresponse.symantec.com/avcenter/FixBlast.exe

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

http://isc.sans.org/diary.html?date=2003-08-11

og lær så at lukke for port 0 - 1024 hvis du ikke bruger dem !

http://www.e-pressen.dk/shownews.php?id=23091

Hvis det ikke er nævnt nogen steder, kan man i kør
skrive:shutdown -a  det stopper også nedtællingen

technohead's link til ShieldUP!! er anbefalelsesværdigt !-)

tak for linket, min comp virker nu igen!!!


sad og sked grønne grise i går, hvad fanden skete der for den!!

er der nogle der ved hvor lang tid den har været i systemet og hvor mange der er blevet "smittet" ( hvor mange i DK)

HVad fanden gør man med sådanne problemmer!!???

ejg har kørt den der "fixblast" er det nok???

nej .. du skal også køre windows update

mikkelz, du kan se lidt statistik hos Esec http://www.esec.dk/Nyheder/ms_rpc_graf.htm

det eneste forsvar mod sådanne exploits, er en firewall.

jeg har kørt update!!!

så er jeg vel dækket??

ja men få dig også en firewall som squashguy siger hvis et nyt exploit skulle dukke op en dag.

hvor finder jeg en god (GRATIS) firewall!!!

http://download.com.com/3000-2092-10184369.html?tag=lst-0-1
http://download.com.com/3000-2092-10217783.html?tag=lst-0-1

Zonealarm er den god gratis firewall
http://downloads-zdnet.com.com/3001-2092-10153456.html

Den gode gamle tiny firewall 2 er noget der er godt og gratis :)

Har prøvet følgende på denne side          http://sikkerhed.tdconline.dk/artikel.php?id=52986
Løsning 1 og 2 hjalp ikke nr. 3 kræver servicepack 2 for at virke. Tror ikke
helt på det er den nye virus. Andre ideer.

Mvh
winde

kør http://securityresponse.symantec.com/avcenter/FixBlast.exe

og så var det måske på tide at du kommer uptodate med dine service packs .. grunden til at du har dette problem nu er at du ikke opdaterer din computer.

Jeg ved ikke om det kan bruges til en pind, men jeg kan se i min log at min firewall også har blokeret en masse på port 137, dog knap så mange som på port 135.

hvad skal jeg gøre hvis MSblast kører på min maskine ????

læs denne tråd igennem.

ok der står godt nok meget efterhånden
jeg vil tro at dette kan gøre det.

Start->Kør Dcomcnfg.exe
Component Services->Computers->My Computer
Højreklik på My Computer og vælg properties
Vælg det faneblad som hedder default properties, og fjern alle flueben.

kør derefter

http://securityresponse.symantec.com/avcenter/FixBlast.exe

den fjerner  msblast

så skal du køre windows update.

OKay...
Min virus scan "norton" fandt virusen.. og den kunne ikke repear. Jeg hentede så Blasterfix på Nortons hjemmeside og kørte den, den skrev så at den ikke kunne finde nogen Blaster virus..
Nu har jeg så aktiveret Firewallen og hentet
http://download.microsoft.com/download/5/b/9/5b9f0e5a-3536-48d1-b02b-1a2cd36a00de/WindowsXP-KB823980-x86-DAN.exe

Burder jeg så være virus fri nu ?

ja .. men kør også windows update ... du mangler sikkert andre fixes

hmmm har isdn så det tager jo tid :-(

Hmmmm...

Min moder gjorde som følger:
1. Kørte FixBlast - den fandt ikke noget
2. Fjernede flueben i DCOMCNFG.exe (som beskrevet ovenfor)
(2½. Norton kom op og sagde den havde fjernet Blast)
3. Forsøgte at hente den danske update som I har linket til - da den var på vej ned lukkede den det hele igen.

Hvordan kan den det ? Burde den ikke være holdt i skak ?

http://vil.nai.com/vil/stinger/
Prøv Stinger.

Skal lige sige at jeg er på ingen måde blevet angreeb!

Hvad betyder det hvis man deaktivere der der Dcom ?

->JAcobclausen. Jeg har forstået det sådan(jvf. fromsej info link) at hvis den er enabled skaber den et hul som en hacker vil kunne udnytte gennem tcp port 4444. ok?

altså et hul vha. Rpc protocollen

mrg > i er åbenbart blevet angrebet igen inden at i har fået lukket for w32blast
den rigtige rækkefølge vil være at lukke hullet og derefter fjerne den.

Flere der har været udefor det her?
Den ligger i mappen C:windows\Prefetch og dens navn er MSBLAST.EXE-09FF84F2.pf
http://www.eksperten.dk/spm/386413

har set mange andre med den .. men hvad den precis er ved jeg ikke
andet end at:
(Prefetch files contain info necessary to start applications faster) (located in %windir%\prefetchfolder)

btw så er det allerede andre varianter ude af den worm som ikke skulle crashe maskinen
hvad de precis gør ved jeg ikke
men en smart worm ville patche den infectede maskine mod den "dårligt" skrevede worm og så bliver det svært at opdage den.

Ved ikke om dette er sagt før (der er alt for mange posts til at jeg gider at læse dem) men alle NT baserede styresystemer er under fare for at blive angrebet.
det vil sige at:
Windows NT 3 og 4
Windows 2000 (alle underversioner)
Windows XP (PRO og Home)
og Windows Server 2003
er under risiko for at blive inficeret.

Din PC genstarter ikke nødvendigvis hvis du er inficeret med msblast, men du kan se om du er inficeret ved at kigge i C:\Windows\System32. Hvis du er inficeret med MSBlast, så burde der ligge en fil der med navnet MSBLAST.EXE
for at fjerne virussen:
åben task manager (CTRL+ALT+DEL) klik på "Processer" og find "MSBLAST.EXE" eller alt der ligner. Luk denne process, slet derefter MSBLAST.EXE fra C:\Windows\System32.
Klik nu på start>kør og skriv "regedit" (uden gåseøjne). Du vil nu se et program åbne med Stifinder-lignende interface.
Find din vej til
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run og slet nøglen der hedder "windows auto update" = msblast.exe


Du skal nu downloade patchen som microsoft har udgivet for at lukke hullet som ormen er kommet ind ad. (læs højere oppe på siden.)

Jeg håber virkelig at folk gavner nytte af mit indlæg.

ps. dette var ikke en copy-paste.

PPS. Hvis din PC er en af dem der genstarter PGA ormen, så skal du starte Windows XP i safe mode.
Du gør dette ved gentagne gange at trykke på F8 mens din PC starter op.
På et tidspunkt kommer du til en menu, hvor du nu skal vælge safe mode.

ldrada> Hvad var så egentlig det nye?

Ved ikke.
Jeg synes ikke at jeg på denne side så nogle ref. til at slette nøglen i registry

Perhaps ved jeg mere om ormen end man kan lære om den her på siden, perhaps sad jeg og patchede alle pcer og servere på mit arbejde den dag jeg hørte om exploiten, perhaps kender jeg mere til datasikkerhed end du :P men kun måske :)

Det sidste tillader jeg mig at tvivle på du gør, men fred være med det, det vigtige er at få skidtet væk, og alle tips er velkomne.

ldrada>Tror nok jeg blev lidt misforstået. Der lå egentlig ikke noget ironisk i mit spørgsmål, men mere det at jeg syntes jeg havde set alt før :o)

Bad news:
http://www.computer-forums.co.uk/forum/viewtopic.php?t=7474
Just a note..
This is mostly a 2000/XP vulnerability but I found the msblaster.exe sitting on a win98 machine scanning away looking for other machines to attack. It doesn't hide at all.. ctrl-alt-del will show it as a running task. It appears that only W2K/XP can be exploited through the DCOM exploit, but the virus/worm/trojan can be run on ANY PC.

yup, right, en tilfældig post i et tilfældigt forum, ikk?

perhaps> fint nok :)

Ldrada>>Hvad mener du med det?
Du har måske det endegyldige svar om den kommer ind på 98 maskiner eller ej?
Er du her for at hjælpe, eller for at fortælle hvor dumme vi andre er?

Det er jo ikke bevist :/

Nej, men dog fundet på mindst en 98ér, og du har stadig ikke svaret på mine to andre spørgsmål.

jeg synes bare ikke at man skal gøre Win98 brugere urolige uden videre.

Det har du ret i, men det ville være rart at få det afklaret, så folk ikke tror de er sikre, og så bliver storangrebet sat ind fra 98ér maskiner.

http://www.e-pressen.dk/shownews.php?id=23148

ja exploitet kan afvikles fra alle maskiner .. den win98 maskine er uden tvivl inficeret manuelt

lidt info om en ny variant
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=55745&VName=WORM_MSBLAST.D&VSect=T


ifølge et indlæg på full-disclosure skulle den eftersigende patche hullet for rcp exploitet og slette sig selv i 2004
om det så er en god til kan diskuteres.

Hejsa...

Jeg har de sidste par dage modtaget meldingen om 60 sek. genstart. Og har læst mig til at jeg har fået virussen blaster. Jeg har gjort alt som i har skrevet i denne tråd for at fjerne den! Samt fuldt symantecs procedure. Men når jeg kører fixen fra symantec så finder den ikke noget..... Heller ikke når jeg kører i fejlsikret tilstand.
Det skal måske lige nævnes at jeg kører XP PRO og HAR kørt opdateringen fra Microsoft. Når jeg trykker på ctrl, alt og del, så kan jeg heller ikke se "blaster.exe" i processer!
Men kan jeg være sikker på at jeg ikke har virussen????

mvh.
Kasper Andersen

http://vil.nai.com/vil/stinger/
Har du prøvet med Stinger?
Forstår jeg det rigtigt, at du får vinduet med de 60 sekunder til nedlukning?

Nej.... ikke endnu!
ja, du forstår det rigtigt....Når jeg kører stinger, skal jeg så også slå remote procedure call via "services.mcs /s" og "dcomcnfg.exe" fra???

Du skal være offline når du kører Stinger.
Jeg kan bare ikke helt forstå at du har den, når du har kørt alle opdateringer, men kør Stinger, og se om ikke det hjælper.

Jeg kørte først opdateringerne efter jeg havde fået den. Jeg læste på symantec at jeg skulle opdatere inden jeg scannede efter den, så det gjorde jeg! Stinger fandt heller ikke noget.... Det er ret mystisk - den har godt nok ikke gjort det siden jeg har kørt opdateringen, men det burde virusen jo ikke forsvinde af!

Jeg kan tjekke om du har den stadigvæk med Hijackthis, det er ikke 100% vandtæt, men det bedste bud jeg har på at kunne finde den.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Det er hermed gjort, logfilen ser således ud:

Logfile of HijackThis v1.97.0
Scan saved at 15:21:10, on 11-09-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\NuCam Corp\CamCheck\CamCheck.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Kasper Andersen\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 66.159.20.52 www1.ndhosting.com
O1 - Hosts: 66.159.20.52 www3.ndhosting.com
O1 - Hosts: 66.159.20.52 www2.ndhosting.com
O1 - Hosts: 66.159.20.52 www.kinghost.com
O1 - Hosts: 66.159.20.52 kinghost.com
O1 - Hosts: 66.159.20.52 www1.kinghost.com
O1 - Hosts: 66.159.20.52 www2.kinghost.com
O1 - Hosts: 66.159.20.52 www3.kinghost.com
O1 - Hosts: 66.159.20.52 www4.kinghost.com
O1 - Hosts: 66.159.20.52 www5.kinghost.com
O1 - Hosts: 66.159.20.52 www6.kinghost.com
O1 - Hosts: 66.159.20.52 www7.kinghost.com
O1 - Hosts: 66.159.20.52 www8.kinghost.com
O1 - Hosts: 66.159.20.52 www9.kinghost.com
O1 - Hosts: 66.159.20.52 www10.kinghost.com
O1 - Hosts: 66.159.20.52 www.smutserver.com
O1 - Hosts: 66.159.20.52 smutserver.com
O1 - Hosts: 66.159.20.52 www1.smutserver.com
O1 - Hosts: 66.159.20.52 www2.smutserver.com
O1 - Hosts: 66.159.20.52 www16.smutserver.com
O1 - Hosts: 66.159.20.52 www3.smutserver.com
O1 - Hosts: 66.159.20.52 www4.smutserver.com
O1 - Hosts: 66.159.20.52 www5.smutserver.com
O1 - Hosts: 66.159.20.52 www6.smutserver.com
O1 - Hosts: 66.159.20.52 www7.smutserver.com
O1 - Hosts: 66.159.20.52 www8.smutserver.com
O1 - Hosts: 66.159.20.52 www9.smutserver.com
O1 - Hosts: 66.159.20.52 www10.smutserver.com
O1 - Hosts: 66.159.20.52 www11.smutserver.com
O1 - Hosts: 66.159.20.52 www12.smutserver.com
O1 - Hosts: 66.159.20.52 www13.smutserver.com
O1 - Hosts: 66.159.20.52 www14.smutserver.com
O1 - Hosts: 66.159.20.52 www17.smutserver.com
O1 - Hosts: 66.159.20.52 www18.smutserver.com
O1 - Hosts: 66.159.20.52 www19.smutserver.com
O1 - Hosts: 66.159.20.52 www20.smutserver.com
O1 - Hosts: 66.159.20.52 www21.smutserver.com
O1 - Hosts: 66.159.20.52 www22.smutserver.com
O1 - Hosts: 66.159.20.52 www23.smutserver.com
O1 - Hosts: 66.159.20.52 www24.smutserver.com
O1 - Hosts: 66.159.20.52 www25.smutserver.com
O1 - Hosts: 66.159.20.52 www26.smutserver.com
O1 - Hosts: 66.159.20.52 www27.smutserver.com
O1 - Hosts: 66.159.20.52 www28.smutserver.com
O1 - Hosts: 66.159.20.52 www29.smutserver.com
O1 - Hosts: 66.159.20.52 www30.smutserver.com
O1 - Hosts: 66.159.20.52 www31.smutserver.com
O1 - Hosts: 66.159.20.52 www32.smutserver.com
O1 - Hosts: 66.159.20.52 agreathost.net
O1 - Hosts: 66.159.20.52 www.agreathost.net
O1 - Hosts: 66.159.20.52 hotfreehost.com
O1 - Hosts: 66.159.20.52 www.hotfreehost.com
O1 - Hosts: 66.159.20.52 greatfreehost.com
O1 - Hosts: 66.159.20.52 www.greatfreehost.com
O1 - Hosts: 66.159.20.52 freesmutpages.com
O1 - Hosts: 66.159.20.52 www.freesmutpages.com
O1 - Hosts: 66.159.20.52 apornhost.com
O1 - Hosts: 66.159.20.52 www.apornhost.com
O1 - Hosts: 66.159.20.52 nasty-pages.com
O1 - Hosts: 66.159.20.52 www.nasty-pages.com
O1 - Hosts: 66.159.20.52 sexyfreehost.com
O1 - Hosts: 66.159.20.52 www.sexyfreehost.com
O1 - Hosts: 66.159.20.52 x4web.com
O1 - Hosts: 66.159.20.52 www.x4web.com
O1 - Hosts: 66.159.20.52 sexplanets.com
O1 - Hosts: 66.159.20.52 www.sexplanets.com
O1 - Hosts: 66.159.20.52 maxismut.com
O1 - Hosts: 66.159.20.52 www.maxismut.com
O1 - Hosts: 66.159.20.52 tgpfriendly.com
O1 - Hosts: 66.159.20.52 www.tgpfriendly.com
O1 - Hosts: 66.159.20.52 tgp-server.com
O1 - Hosts: 66.159.20.52 www.tgp-server.com
O1 - Hosts: 66.159.20.52 magnaplza.com
O1 - Hosts: 66.159.20.52 free-xxx-server.com
O1 - Hosts: 66.159.20.52 www.magnaplza.com
O1 - Hosts: 66.159.20.52 libereco.net
O1 - Hosts: 66.159.20.52 www.libereco.net
O1 - Hosts: 66.159.20.52 0190-dialer.com
O1 - Hosts: 66.159.20.52 www.0190-dialer.com
O1 - Hosts: 66.159.20.52 xxxod.net
O1 - Hosts: 66.159.20.52 www.xxxod.net
O1 - Hosts: 66.159.20.52 altsights.com
O1 - Hosts: 66.159.20.52 www.altsights.com
O1 - Hosts: 66.159.20.52 adulthosting.com
O1 - Hosts: 66.159.20.52 www.adulthosting.com
O1 - Hosts: 66.159.20.52 superhova.com
O1 - Hosts: 66.159.20.52 www.superhova.com
O1 - Hosts: 66.159.20.52 bestpornhost.com
O1 - Hosts: 66.159.20.52 www.bestpornhost.com
O1 - Hosts: 66.159.20.52 hostingfree.com
O1 - Hosts: 66.159.20.52 www.hostingfree.com
O1 - Hosts: 66.159.20.52 xfreehosting.com
O1 - Hosts: 66.159.20.52 www.xfreehosting.com
O1 - Hosts: 66.159.20.52 blinghosting.com
O1 - Hosts: 66.159.20.52 www.blinghosting.com
O1 - Hosts: 66.159.20.52 x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 www.x-x-x-hosting.com
O1 - Hosts: 66.159.20.52 pornparks.com
O1 - Hosts: 66.159.20.52 www.pornparks.com
O1 - Hosts: 66.159.20.52 sexls.com
O1 - Hosts: 66.159.20.52 www.sexls.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CamCheck] C:\Programmer\NuCam Corp.\CamCheck\CamCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37799.0063541667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

tro det eller lad være, men der er fundet flere huller i rpc

https://www.cert.dk/nyheder/nyheder.shtml?03-09-11-08-18-25

så en update er nok igen på sin plads...

Den er ikke på din PC ifølge logfilen.
Men vi kan lige rense lidt ud.
Deaktiver systemgendannelse: http://www.spywarefri.dk/virus.htm#alle

Kør hijackthis igen, scan og sæt et flueben i samtlige linier der starter med
01-hosts, luk alle vinduer undtaget Hijackthis og klik på fix checked, genstart og genaktiver systemgendannelse.
Mvh:
Fromsej/Team Spywarefri.

squashguy>>Tak for info, og undskyld vi tog en logfil i det her indlæg, jeg spørger lige coadmins om de kan flytte eller slette det?
Men ikke før k.andersen har reagferet, da han lige skal have svaret.

Ok! Det vil jeg gøre så. Du skal have tusind tak for hjælpen.... ;-)

Lukketid.

lukker om 60 sek...

hehe :)

*GMH*

angående de gratis svar

http://www.eksperten.dk/spm/408300

---------------------------------
---- WINDOWS XP HOME EDITION ----
---------------------------------

Jeg har oplevet på visse WinXP HE versioner, at man ikke kan koble Remote Procedure Call fra via dmcomcnfg. En anden omvej er at gå ind i Fejlsikret tilstand, Kontrolpanel, Administration, Tjenester - dobbeltklik på Remote Procedure Call, gå til fanen Genoprettelse og vælg "Foretag intet" i alle bokse, hvor der står "Genstart computeren".

Derefter kan man installere Microsofts patch fra fejlsikret tilstand - husk at downloade den først. Lad computeren genstarte, gå ind i Fejlsikret tilstand med det samme og sæt "Genstart computeren" tilbage :)

www.eksperten.dk

<a href="http://www.eksperten.dk">tryk her</a></p>

<a href="http://www.eksperten.dk">tryk her</a>

Hvad sker der rasmusta ?-)

øhhh :S

Start->Kør Dcomcnfg.exe
Component Services->Computers->My Computer
Højreklik på My Computer og vælg properties
Vælg det faneblad som hedder default properties, og fjern alle flueben.
Jeg har prøvet dette, men hver gang jeg forsøger så lukker den vinduet ned... Kan jeg komme ind til dette på en anden måde?

Ja, brug Dcom bobulator.
http://www.spywarefri.dk/tipsogtricks.htm#DCom

Hej.

Jeg har et problem vedr. dette emne, se venligst her: http://www.eksperten.dk/spm/458877

På forhånd tak.