Virus på min computer

det er blaster

Se om dette kan klare det:
Blaster
Du har fået besøg af blaster ormen

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/dcom/
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre virusser angriber igennem,
de kan lukkes ved at hente samtlige opdateringer på windows update


Hent alle opdateringerne på windowsupdate :
http://v4.windowsupdate.microsoft.com/da/default.asp


Så er der lukket af for yderligere angreb af blasterormen,


Derefter fjerner du blasterormen med stinger :
http://vil.nai.com/vil/stinger/


her en video der guider dig trin for trin :
http://webguider.dk/VisArtikel.aspx?id=124

http://www.spywarefri.dk/virus.htm#msblast

Ja den kommando med shutdown -a

Og så installere denne her: http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf

Fremgangsmåden er: Du kan blokere msblast med : shutdown -a fra kør menuen
1. Download stinger (mcaffee) eller Norton fixblast og opdater dem.
1B. Download xp patch jvf. bertie´s link til windows update.
2. Deaktiver systemgendannelse og log af internettet.
3. Scan din pc. Installer xp patch. aktiver systemgendannelse og log på internettet.
Jeg kan anbefale at installere en firewall f.x. sygate eller zonealarm. http://tucows.tiscali.dk/preview/213160.html

Mange Tak!.. Nu skulle ormen gerne være DØD!!..

dannyboyd-> jeg er enig med dig i at der bør installeres firewall bagefter.

Efter fjernelsen af Blaster skal du regne med for en sikkerheds skyld at køre en HijackThis scanning.
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Installere og køre HijackThis. Klik på .exe filen, så kører programmet, klik på scan, klik på save log, kopier loggen og læg en kopi herind.

Når den blaster først er væk, så skal der ske mange ting for at sikre den computer for lign i fremtiden.

Opdatering af Windows
Antivirus prg.
Firewall
Lukke den dcom
Kigge og helst installere flere af disse prg. http://www.spywarefri.dk/pakken.htm

Takker for Point;) men som sagt lige herover, så vil jeg gerne tjekke at der ikke liger nogle smårester som ikke er væk. Installer den Hijackthis, og kopier din log herind.

Jeg håber du vil lægge denne log herind. En af grundende til jeg gerne vil have det er, at med de andre fix blaster prg. bla. fra stinger, så ligger der stadig rester af blaster / agabot i loggen som skal fjernes efterfølgende.

Dette removel som jeg har givet dig er helt nyt, og vi ved endnu ikke om den tager det hele på en gang, så det kunne også være meget oplysende også for mig at vide.

pfh. tak. Aovergaard/Team Spywarefri

Her er Logfilen..

Logfile of HijackThis v1.97.7
Scan saved at 17:42:02, on 10-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Per Holm\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Det er ikke den første Logfil.. Fik ikke gemt den!.. Håber at du kan bruge den alligevel!

Men det her er den logfil som du har taget efter at du har fixet med den fra microsoft????

Der er snavs i, jeg tjekker den lige og kommer med info, ellers læg den sidst nye igen.

Ja, det er den efter jeg kørte den første scan!.. Jeg laver en ny scan, og smider logfilen ud!

ogfile of HijackThis v1.97.7
Scan saved at 17:49:37, on 10-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Per Holm\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Du skal hente Lspfix http://www.cexx.org/LSPFix.exe og trykke gem og lægge den på dit skrivebord.

Du skal du kører det lspfix, starte det, klik til fuld skærm, markere I know what I am doing og klikke på finish. (dette lspfix virker fortinligt, hvis man mister sin internetforbindelse)

Gå i start - kontrolpanel - tilføj/fjern og slet new.net og/eller new.dot. Derefter går du i søg og søger på : new.net og sletter alt hvad den finder.

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:  http://spywarefri.dk/virusscannere.htm#alle
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe

Genstart i fejlsikret tilstand find og slet:
C:\Programmer\ISTsvc\istsvc.exe

Genstart, ny log herind.
Jeg er desværre nødt til at gå nu, da jeg skal i byen, men jeg har bedt min kollega om at følge dig til dørs mens jeg er væk. *S*

Lige et sidste spørgsmål, Hvordan genstarter jeg i fejlsikret tilstand?

Har fundet ud af det!.. Her er den nye logfil, jeg fulgte dine instrukser, og slettede istsvc.exe
Mange tak for hjælpen!.. Du må ha en god bytur, jeg giver en bajer hvis jeg støder på dig ;-)

Logfile of HijackThis v1.97.7
Scan saved at 18:20:23, on 10-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Per Holm\Lokale indstillinger\Temp\Midlertidig mappe 6 for hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\imapi.exe

O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
Skal væk, men det er godt nok en underlig log.
Kører din PC optimalt, for mig ligener det geninstallation af mange ting.

Øv, stødte ikke på dig, og fik ikke en bajer *LOL* Men kan lige som fromsej se du mangler af fixe den IST fil.

Genstart i fejlsikret tilstand og fix:
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe

Genstart og kom med en ny log til tjek.

Takker for point;)

Nu har jeg slette ISTsvs.exe

Her er den nyeste Logfil..

Logfile of HijackThis v1.97.7
Scan saved at 17:14:03, on 14-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\programmer\steam\steam.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\PERHOL~1\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Denne patch uskadeliggøre MSBlaster ormen. Hvis du ser at denne patch ikke køre ordenligt så skal du køre den med styresystemet startet op i  "protectet mode".
http://download.microsoft.com/download/5/b/9/5b9f0e5a-3536-48d1-b02b-1a2cd36a00de/WindowsXP-KB823980-x86-DAN.exe