"Remote Procedure Call (RPC)"

ja .. det hjælper ikke at formatere! Du skal lukke hullet, og derefter fjerne den.

kig engang i nogen af de gamle spørgsmål.
http://www.eksperten.dk/list.phtml?&method=and&excerpt_on=1&find=ms+blaster

Det der kan være, det er at hvergang han er online så får han straks blaster igennem en af de huller der er i Windows, derfor opdater dit Windows og sæt firewall på, du kan eventuelt læse mere på www.virus112.dk - :o)

Håber det var svar nok :o)

Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre vira angriber igennem,
de kan lukkes ved alle opdateringerne fra windows update:

Hent dem herfra : http://v4.windowsupdate.microsoft.com/da/default.asp


Så er der lukket af for yderligere angreb af blasterormen,


Prøv først at slette blasterormen med det nye blasterfix fra microsoft http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf , hvis det ikke finder den, så må vi ty til hijackthis.

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

jeg ville gøre
1. & 2. og hoppe direkte til windows update.
og så køre http://vil.nai.com/vil/stinger/ for at se om den er kommet ind.

jeg tvivler på der er nogen grund til at gå igang med hijackthis på et nyformateret system... og jo lukke for dcom kan du da godt hvis du ikke bruger den .. men det er ikke nødvendigt for at holde ms blaster ude.

Enig med loadet! En ny formateret maskine kræver ikke tjek af logfil
Damn hvor er det ensformigt at se det samme smidt igen og igen fra arlet!
Hele universet gåde kan ikke løses med det hijackthis!!

loadet og ird -> Hvis i læste hvad jeg skrev...

Først sørge for at den ikke genstarter, så hent alt fra windows update.

Så er der lukket af for flere angreb.

Så kører man det nye blasterfix fra microsoft, HVIS det ikke fjerner blasterormen, så må man ty til hijackthis

" hvis det ikke finder den, så må vi ty til hijackthis " .. det er meget godt, men nu er det altså sådan at selv om din maskine har genstartet de første 200 gange betyder det ikke at ms blaster er kommet ind på den, selv om blaster fejler så genstarter maskinen.
og finder brugeren ikke noget så går han jo igang med hijackthis.... hvilket måske ikke er nødvendigt.
jeg har det sådan her .. keep it simple, tag det som det kommer, istedet for at vælte informationer ned over brugeren der måske forvirer mere end de gavner.

Nu går jeg ud fra at spørgeren vil have så mange forslag som muligt, til at tage med, når han skal ud og rense computeren på mandag. Derfor..

fint nok, jeg mener bare jeg har ret til at sige hvordan min fremgangsmåde ville være, det skulle ikke være opfattet som kritik.

hvis det iøvrigt er noget han tager med sig, og ikke har mulighed for at vende til bage til spm med evt kommentarer for at få yderligere support så får han jo heller ikke meget ud af hijackthis ;)

Nej men arlet tror alt skyldes virus og han kan redde jorden med den hijackthis!
Kan se på hans karma folk er ved at få øjnene op :)
Klart du må komme med din holdning loadet :)

Undskyld for spam opretter

loadet -> Selvfølgelig må du det. og om du kører det nye blasterfix eller stinger, går ud på et. Jeg har taget hjt vejledningen med som sidste løsning, da vi har været ude for en del gange at hverken stinger eller blasterfixet finder blasteren.

Som sagt, har du lov at komme med din fremgangsmåde, men så har jeg vel også til at komme med min*S*

Såså rolig drenge ;)

Jeg tror ihvertfald jeg har det jeg skal bruge for at få renset ud i den comp på mandag... Men grunden til jeg spurgte var fordi jeg troede at virusen var ude af systemet når man først havde geninstalleret compen... meeen den er sq mere snu end det kan jeg jo læse på det hele :D

Hvis det er blaster virussen, så er den væk i det øjeblik du formaterer.

Hvis du skal slippe for blaster ormen efter formatering, så skal du have hentet service pack 1 og enten have lagt på dit d-drev, eller brændt ned på en cd-rom. Så formater du og indstaller service pack 1 inden du går på nettet. så kan du i ro og mag hente alle de andre opdateringer til windows og IE, uden af få besøg af den igen

Nu sidder jeg ved compen og han har kørt en virus scan hvor den fandt 5 worms og kunne kun slette de 3 af dem derfor har jeg prøvet med hijackthis så her er loggen :

Logfile of HijackThis v1.97.7
Scan saved at 12:42:38, on 02-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Download\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38016.1378009259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

kigger den lige igennem

Bare iorden

Der var ikke noget snavs, bare noget der sløver maskinen lidt:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

genstart.

Nu du har din systemgendannelse deaktiveret , så kør et scan med stinger http://vil.nai.com/vil/stinger/

finder den noget??

Finder ikke noget

Du skriver at du kørte et virus scan og den ikke kunne slette dem, den fandt. Hvilke virusprogram brugte du??

www.antivirus.dk panda antivirus

prøv, men du har deaktiveret systemgendannelse at køre et scan med panda

Den er deaktiveret.... Men den finder ikke noget mere har lige kørt den igen... Men tror du så den er helt ude af systemet?

Ja, hvis der ikke er mere i loggen og stinger og panda ikke finder noget, så har du ikke mere, det er sikkert.

Du er clean og kan aktiver din systemgendannelse igen


For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Jamen så takker jeg mange gange tak for hjælpen

Damn skrive kan jeg da ikke lige i øjeblikket heh

Velbekommen