Avatar billede rs2000 Nybegynder
25. marts 2004 - 16:47 Der er 33 kommentarer og
2 løsninger

Hvordan slipper jeg 100% af med "Geobot"

Jeg havde denne "herlige" virus i min PC for 14 dage siden og troede jeg var sluppet af med den efter 3 formateringer.
Den kørte fint i de 14 dage.
Så i går var den gal igen og jeg formaterede igen.
Derefter fandt Norton 4 inficerede filer igen :-(
Hvad er det jeg gør galt siden den bliver ved med at drille.
Avatar billede jasperDK Nybegynder
25. marts 2004 - 16:53 #1
Kører du med Windows XP?
Avatar billede andersenph Nybegynder
25. marts 2004 - 16:57 #2
http://grc.com/dcom/
Luk dcom med dette program.
Opdater dit windows med alle sikkerhedsopdateringer.
http://www.spywarefri.dk/vaerktoj.htm#hijackthis
Hent hijackthis og scan og gem loggen. Kopier den herind, så kigger vi på den.
Du må ikke fixe noget før vi er enige om hvad det skal være.
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:00 #3
ok prøver lige.
Og ja det er Win XP Pro
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:00 #4
Dcom er den svaghed i windows som gaobotten og blaster anvender til at inficere din pc.
Hvis man lukker for den og installerer alle kritiske sikkerhedsopdateringer fra windows update, kan det ikke gå helt galt
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:02 #5
Men nu har du måske allerede fået den igen, og så skal vi fjerne den....
Det gør vi med hijackthis.
Download den til en mappe for sig selv. Så ved vi hvor vi har backup filerne :O)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:15 #6
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton Personal Firewall\ccPxySvc.exe
C:\Programmer\WinBar\WinBar.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
L:\Mine Foretrukne Programmer\Sikkerheds Programmer\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tdconline.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38070.3696296296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Sådan ser den ud lige nu.
Avatar billede thesurfer Nybegynder
25. marts 2004 - 17:18 #7
rs2000> Smid *hele* loggen her ind.. også det med "logfile..."
dvs, fra start til slut.
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:18 #8
Jeg har de 4 inficerede fil i karantæne.
De hedder:
Cvsr.exe
Mmtask.exe
Mmtask.exe.poly
Winhlpp32.exe
Og de er alle fra C:\windows\system32
Skal jeg slette dem??
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:19 #9
Logfile of HijackThis v1.97.7
Scan saved at 17:19:43, on 25-03-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Norton Personal Firewall\ccPxySvc.exe
C:\Programmer\WinBar\WinBar.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
L:\Mine Foretrukne Programmer\Sikkerheds Programmer\hijackthis.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Fælles filer\Symantec Shared\NMain.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\QConsole.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tdconline.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programmer\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38070.3696296296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:20 #10
Så løber jeg den igennem. Der går lige 5 minutter :O)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:22 #11
OK

Jeg så lige jeg mangler 5 sikkerheds opdat. idag.
Hentede ellers dem alle igår :-/
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:35 #12
Først opretter du en mappe kun til hijackthis og lægger programmet derover.

Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :







R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tdconline.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch


O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer

C:\Programmer\WinBar\WinBar.exe

Genstart og ny log til til check please
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:41 #13
Mmtask.exe er en del af musicmatch så den skal du nok ikke slette.
Mmtask.exe.poly det er denne nok også...

Winhlpp32.exe er gaobot, så den kan du godt slette.
Cvsr.exe kan jeg ikke finde noget legalt på så den sletter du også...
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:42 #14
Skal jeg slette mit winbar???
Avatar billede thesurfer Nybegynder
25. marts 2004 - 17:44 #15
andersenph> er der ikke noget galt med din analyse, i dit sidste indlæg?
tdconline.dk er nok en selvvalgt side
de andre sider er standard i HijackThis efter fix.
Avatar billede thesurfer Nybegynder
25. marts 2004 - 17:45 #16
og WinBar skal der heller ikke slettes...?
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:49 #17
ups
I har ret. Det gik lidt fot stærkt
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:50 #18
hmm nu er jeg lidt i vildrede.
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:51 #19
Hør her så
Du behøver ikke fixe noget

Du har fanget snavset i norton og dem jeg har sagt skal slettes skal væk
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:53 #20
ok :-) så sletter jeg bare de 4 filer jeg har i karantæne
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:54 #21
Mmtask.exe er en del af musicmatch så den skal du nok ikke slette.
Mmtask.exe.poly det er denne nok også...
Avatar billede rs2000 Nybegynder
25. marts 2004 - 17:58 #22
Jamen når de er inficeret og jeg ikke kan reparere dem ??
Jeg bruger kun  mediaplayer.
Og aner ikke hvad musicmatch er for noget
Avatar billede andersenph Nybegynder
25. marts 2004 - 17:59 #23
Nå ok så slet dem, jeg ville bare ikke kvaje mig igen :O)
Avatar billede thesurfer Nybegynder
25. marts 2004 - 18:02 #24
mmtask.exe: Part of MusicMatch Jukebox that is digital music player, CD burner and ripper, music organizer, and play list creator.

Så vidt jeg ved, skal *.poly filer slettes.. men er ikke helt sikker.
Avatar billede rs2000 Nybegynder
25. marts 2004 - 18:04 #25
Prøver og ser hvad der sker :-)
Thesurfer smid lige et svar
Avatar billede andersenph Nybegynder
25. marts 2004 - 18:04 #26
Musicmatch er en del af logitech´s driver cd til deres mus og keyboards og hvis man ikke bruger det kan man vel godtslette det...
Avatar billede rs2000 Nybegynder
25. marts 2004 - 18:05 #27
Hehe Mediaplayeren virker stadig som den skal :-)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 18:08 #28
Ahhh Jeg fravalgte Musicmatch da jeg inst. Logitech tastaturet og musen.
Så ud de filer røg
Avatar billede thesurfer Nybegynder
25. marts 2004 - 18:11 #29
Nej, tak :-)
Jeg mener ikke, at have ydet hjælp nok, til at få points :-)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 18:20 #30
hmmm du reddede da ellers Andersenph på mållinien thesurfer *GG*
Avatar billede thesurfer Nybegynder
25. marts 2004 - 18:29 #31
Sådan er det jo :-)

Vi er et par stykker (eller 8) der kan analysere HijackThis-logs.. hvis en af os overser noget, hopper de andre frem :-)

Ellers er der jo de der backup-filer, som genereres af HijackThis :-)
Avatar billede andersenph Nybegynder
25. marts 2004 - 18:29 #32
The surfer har fortjent alle pointene :O)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 19:31 #33
thesurfer smid nu det svar og i deler pointene.
I har begge hjulpet hinanden og især mig *GG*
Avatar billede thesurfer Nybegynder
25. marts 2004 - 19:46 #34
OK, men kun fordi det er dig ;-)
Avatar billede rs2000 Nybegynder
25. marts 2004 - 20:44 #35
Takker :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester