Windows XP fejl, (lukker ned)

Du har fået besøg af blaster ormen eller en variant

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom


Windows har nogle huller, som blaster og andre vira angriber igennem,
de kan lukkes ved alle opdateringerne fra windows update:

Hent dem herfra : http://v4.windowsupdate.microsoft.com/da/default.asp


Så er der lukket af for yderligere angreb af blasterormen,


Prøv først at slette blasterormen med det nye blasterfix fra microsoft http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf , hvis det ikke finder den, så må vi ty til hijackthis.

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.webattack.com/get/hijackthis.html
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

http://www.lars.1go.dk/luk.JPG virker linket ikke kopier det til adresselinjen.

http://www.eksperten.dk/spm/430242

Det billed har vi set mange gange*S*

Så følg bare vejledningen..

du har fået Blaster Ormen, du kan fjerne den ved at http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

og gå ned til punktet:
1. Download the FixBlast.exe file from:

derefter åbner du filen og køre den.....den fjerner den for dig.

Arlet: Ja den orm må forbydes :D Havde installet XP ca 3 gange. Med formatering osv. Troede der måske var noget galt med boot sektoren, har rodet en del med det.

Takker for hjælpen, prøver lige at kigge på det. Hvordan kan jeg sikre mig at ormen er afinstalleret?

Eneste må du 100% er sikker er at lave den hijackthis, så kn vi se ud fra den om den er væk.

Men hvis enten blasterfixet eller avast finder noget, så sletter de den og så er den væk..

update: Skal nu til at bruge Windows update

Ja, man skulle helst have hente alle opdateringerne til windows INDEN man formater for at undgå at man får forskellige slags orme...

Arlet: ? Hentet alle opdateringerne inden man formatere? Først henter jeg opdateringerne og så sletter jeg dem igen? Er ikke helt med.

Nej, det jeg skrev det var: Til en anden gang, så henter man alle opdateringerne og lægger på en cd rom inden man formater.

Du fortsætter bare med at få hentet alt fra windows update*S*

update: ja, der kommer nok til at gå ca. 1½ time - 2 timer til de er færdige. Sp1 express vil ikke hente fra nettet. Så jeg henter hele pakken :D.

ok

Sp1 er nu hentet. Men hvorfor pakker den filerne ud på en partition hvor styresystemet ikke er installeret?

Update: Efter at ha' hentet opdateringerne, går jeg ind igen og ber den søge efter opdateringer. Den skriver de samme som jeg lige har installeret. Hvordan løser jeg det?

Vil nu gå over til Hijackthis da opdateringerne synligvis ikke virker.

Logfile of HijackThis v1.97.5
Scan saved at 14:44:05, on 26-02-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\WINDOWS\System32\esoh123.exe
D:\Programmer\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\devldr32.exe
D:\Documents and Settings\Lars\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunServices: [esoh] esoh123.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.6100115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Så tager vi de opdateringewr bagefter.

5 minutter, så er der svar for loggen

Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.
O4 - HKLM\..\Run: [esoh] esoh123.exe
O4 - HKLM\..\RunServices: [esoh] esoh123.exe

find og slet:
D:\WINDOWS\System32\esoh123.exe

genstart og ny log

Logfile of HijackThis v1.97.5
Scan saved at 15:06:06, on 26-02-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Documents and Settings\Lars\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.6100115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Så er der ikke mere blaster og du er ren.

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm

Hvad kræver det at sætte sig ind i Hijackthis?

Jeg har skrevet lidt om det her: http://www.arlet.dk/hijackthis.htm

jeps, surfede lige rundt på din side. Den er god. Takker for hjælpen. Piont på vej.

Skal systemgendannelser aktiveres igen?

Ja, det skal den, selvfølgelig. Det glemte jeg lige at skrive*S*