norton kommer med en meddelse at jeg har Følgne virus W32.SASSER

Gå i start og skriv shutdown -a
så skulle den stoppe med at genstarte

Hent denne patch : http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

Fjern ormen med stinger: http://www.arlet.dk/special.htm

hent W32.Sasser Removal Tool

The W32.Sasser Removal Tool does the following
Terminate the W32.Sasser viral processes
Delete the W32.Sasser files
Delete the registry values that the worm adds

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

Og hold windows opdatere via windows update

men ejg ahr forsøgt at slette dem siden i går ?
de komemr bare igen :(

og mit windows er updated :?

Så har du ikke hentet den patch fra microsoft..

Så prøv at komme med en hijackthis: http://www.arlet.dk/hjt.htm

her er min hijack log:  Logfile of HijackThis v1.97.7
Scan saved at 7:46:30 PM, on 3/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\Ahead\InCD\InCD.exe
D:\Programmer\D-Tools\daemon.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
E:\spil\steam\steam.exe
C:\Programmer\SEC\Natural Color\NaturalColorLoad.exe
C:\Documents and Settings\Thomas\Skrivebord\sassgui.com
C:\Programmer\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
D:\Programmer\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "e:\spil\steam\steam.exe" -silent
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38008.3831365741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab

Hvad er dette her, du har på skrivebordet: sassgui.com

???

det er det der saaser remove

hentede det fra det link rkhdk skrev længere oppe :)

mit agv har fundet 4 vira, men jeg ander ikke hvordan jeg fjerne dem, skal jeg prøve at smide en log fra agv ?

Results of Complete Test, date and time 3/05/2004 19:46:02 :

Testing C:\ serial 28F7-6924
C:\RESOLVE.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\LocalService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\NTUSER.DAT.LOG Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\USRCLASS.DAT Cannot open; not checked!
C:\Documents and Settings\THOMAS\Lokale indstillinger\Application Data\Microsoft\WINDOWS\UsrClass.dat.LOG Cannot open; not checked!
C:\Programmer\Norton AntiVirus\Quarantine\PORTAL\64DC1B5D.EXE repaired
C:\WINDOWS\AVSERVE2.EXE Virus identified I-Worm/Sasser.C
C:\WINDOWS\SYSTEM32\24202_UP.EXE repaired
C:\WINDOWS\SYSTEM32\31038_UP.EXE repaired
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Cannot open; not checked!
Testing D:\ serial 1839-8244
Testing E:\ serial 0836-544A

Test finished, duration 00:22:04.4 s
16713 objects tested, 4 found infected

Prøv at se om du kan finde denne her: C:\WINDOWS\AVSERVE2.EXE

Har du den, skal den slettes

den finder igenting når jeg søger efter den

det var AVSERVE.EXE dem havde jeg en del af i går og slettede dem, men de kom hvergang jeg tændte computeren igen ? os den med 2 bag ved

når jeg prøver at fjerne det med removal skriver den jeg ikk er administrator ?? og den muligvis ikek kan fjerne dem helt ?

det går total amok nu

den skriver jeg ikke er admin over denne computer, også lukker den ned ?

tænder jeg den igen kommer samme meddelse

ARLET  HJææ

kom med en ny hijackthis

jeg har hacker's de roder rundt i alt !!!

Arlet kender du ikke en good firewall !!

ikke zone A...

tror faktisk divs worms er væk ;)

Jo, det gør jeg.

Gratis -> Sygate
koste lidt -> Bitguard.

Begge finder du her: http://www.arlet.dk/firewalls.htm

Takker mange gange igen :D

jeg kan se du anbefaler spyware.. hvorfor ?

jeg kan se du anbefaler spyware ???

Hvad mener du??