sasser worm

Har du huske at slå Systemgendannelse fra hvis du bruger WinXP ?

http://sikkerhed.tdconline.dk/artikel.php?id=60780

En smart havde opdateret ;o)

1. Klik start og klik kør
2. Skriv i feltet : shutdown -a

så genstarter den ikke mere

luk først Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart

Så henter du en hijackthis: http://www.arlet.dk/hjt.htm

Giv pointene til arlet, det er hans svar

har ikke slået systemgendannelse fra hvordan gør jeg det?

http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm

michael_stim >> Det hjælper ikke at kører shutdown -a
Jeg har fjernet ormen fra 10 test maskiner i dag. Her prøvede jeg shutdown -a uden held.

Michael stim>>> har kigget på det svar, har også lukket DCom men synes ikke hijackthis er speciel brugervenlig. noget med at man skal scanne og kopiere svaret til et forum hvor der sidder nogen og fortæller hvad man skal slette synes det lyder underligt

min maskine lukker heller ikke ned der kommer bare konstant popup fra norton og det er skide irriterende! *S*

Ja, men det virker, man skal ikke selv begynde at rode der hvis man ikke har check på det (hvilket jeg ikke har). Jeg stoler fuldt ud på dem her på eksperten. (De fleste)

robin-steen >> Det burde virker med Stinger, hvis du har slået systemgendannelse fra

systemgendannelse er slået fra og filen er slettet men der kommer stadig konstante popups fra norton hvorfor?

prøver lige stinger igen 2 sec *S*

Husk også at kører en Windows Update

phatlasse>>> er i gang med windows update nu og stinger men det ser ikke ud som om stinger finder noget :o(

Stinger fjerner sasser, mens en Windows Update burde lukke for hullet.

Husk også at slå systemgendannelse til igen, efter du har lavet update

hvorfor skal den slås til igen og hvad gør systemgendannelsen?

robin-steen>her er en typisk gennemgang med HiJackThis http://www.eksperten.dk/spm/495666 , bare så du ka se at det er ok at bruge den ;)

<klip>
System Restore is a component of Windows XP Professional that you can use to restore your computer to a previous state, if a problem occurs, without losing your personal data files (such as Microsoft Word documents, browsing history, drawings, favorites, or e-mail). System Restore monitors changes to the system and some application files, and it automatically creates easily identified restore points. These restore points allow you to revert the system to a previous time. They are created daily and at the time of significant system events (such as when an application or driver is installed). You can also create and name your own restore points at any time.
<klip>

på den måde! sad lige og læste et par spms med hijackthis. kan det anbefales og bruge det og få renset sin computer 100% ? er der en herinde der kan tyde logfilerne?

robin-steen >> Ja, det kan helt sikkert anbefales. Men jeg kender desværre intet til det.

cp1>>> kender du hijackthis? kan du hjælpe mig med en log?

det bedste du ka gøre, er at oprette et nyt spørgsmål i virus kategorien,det er der de hårde piger og drenge sidder og de tyder sådan en log i løbet af nul,fem,jeg er ikke HJT ekspert og det ska man være,for ikke at ødelægge folks computere ;)

eller læg den hijack-log ind her. Så kommer Arlet eller en af de andre eksperter garanteret ind og hjælper dig.

eller også kan du hoppe over til Spywarefri.dk, som har hjulpet utallige folk med problemer at denne type.
http://www.spywarefri.dk/hjtanv.htm  (vejledning)
http://www.spywarefri.dk/forum/forum.asp?FORUM_ID=15  (logs)

Jeps. Vi sidder på nåle efter at se den hijackthis log*S*

Hej,

Jeg har vist også en pc'er med Sasser. Kan min logfil bruges? Jeg kan sgu ikke komme af med den virus på nogen måde.
mvh Bo

Logfile of HijackThis v1.97.7
Scan saved at 18:01:38, on 04-05-2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\i386\winnt32.exe
C:\Documents and Settings\Christian\Lokale indstillinger\Temporary Internet Files\Content.IE5\5MMY2F1X\hjt[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programmer\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O10 - Unknown file in Winsock LSP: c:\programmer\spamfighter\proxy\proxy.dll
O16 - DPF: {41A22D90-5502-4C52-9FB7-67901FBBD515} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1103.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37846.1549074074
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

fusentast >>  for ikke at skabe forvirring i robin-steens spørgsmål, vil jeg foreslå at du opretter et nyt og smækker loggen derind.

takker