CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede m0204 Nybegynder
06. juni 2004 - 13:06 Der er 12 kommentarer og
1 løsning

Spybot.worm.a (Fjern og beskyt?)

Hejsa. Vi har nu fået denne vira. Kører med XP med de aller nyeste opdateringer. Kører McAfee, med de nyeste opdateringer.

Men kan man ikke beskytte sig mod denne vira?
Avatar billede fromsej Praktikant
06. juni 2004 - 13:07 #1
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede m0204 Nybegynder
08. juni 2004 - 20:06 #2
Selvom jeg har været inde i fejlsikret og fjerne virussen, kommer den igen.
Hvordan dælen beskytter man sig mod den?
Her er min hijack:
Logfile of HijackThis v1.97.7
Scan saved at 20:06:26, on 08-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programmer\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programmer\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\McAfee\McAfee VirusScan\VsStat.exe
C:\Programmer\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programmer\Fælles filer\Network Associates\McShield\Mcshield.exe
C:\Programmer\McAfee\McAfee VirusScan\Avconsol.exe
C:\Documents and Settings\Preben\Skrivebord\hijack\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programmer\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programmer\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmer\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20031216/qtinstall.info.apple.com/mickey/us/win/QuickTimeInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38000.4242824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede fromsej Praktikant
09. juni 2004 - 20:38 #3
Kan du ikke komme med de info du får om den orm, og lade være med at fjerne den næste gang, og så lægge en ny HJT log?
Avatar billede m0204 Nybegynder
10. juni 2004 - 21:16 #4
Jamen jeg kan skam slet ikke få lov til at fjerne virussen, kun i fejlsikret ... Og det gider man jo ikke hver gang. Kan bare ikke finde nogle steder på nettet der forklarer hvordan man undgår virussen.  Her taler jeg både om w32.sdbot og w32.spybot
Avatar billede fromsej Praktikant
10. juni 2004 - 22:34 #5
Du skal holde din windows og antivirus opdaterede, så skal du undlade at bruge P2P programmer, samt lige lukke for Dcom med Dcombobulator:
http://grc.com/dcom/
En god firewall holder også meget skidt ude.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.

Jeg kan ikke se noget forkert i den log, har du navn og sti på den angrebne fil?
Avatar billede m0204 Nybegynder
12. juni 2004 - 12:27 #6
Jeg har lukket hullet DCOM for lang tid siden. Windows og Virusprogrammet er helt up-to-date (Norton).

Men prøver lige at installere de programmer der. IE-Spyad og IE Privacy Keeper, er det programmer der kører i baggrunden?
Avatar billede fromsej Praktikant
12. juni 2004 - 12:29 #7
IE-Spyad gør, IE Privacy keeper kan du selv sætte op, der er link til manualerne i artikel 144.
Avatar billede m0204 Nybegynder
12. juni 2004 - 12:34 #8
Men kan du egentlig finde oplysninger om de to vira? SDBOT og SPYBOT. Synes ikke der er meget skrevet om disse vira?
Avatar billede fromsej Praktikant
12. juni 2004 - 22:53 #9
Nej, der er ikke mange oplysninger.
http://vil.nai.com/vil/content/v_100454.htm Worm Sdbot.
http://vil.nai.com/vil/content/v_100282.htm Worm Spybot.
Avatar billede m0204 Nybegynder
14. juni 2004 - 16:34 #10
Virussen befinder sig blandt andet her:
C:\System Volume Information\_restore{D757BEAE-C6EA-48C1-8ED3-6E8451C222E6}\RP39\A0008690.exe\A0008690.EXE

Siger det dig noget?
Avatar billede fromsej Praktikant
14. juni 2004 - 20:33 #11
Ja, det siger mig at du skal deaktivere systemgendannelse og så scanne igen, både med dit faste virusprogram, Stinger og online hos Housecall og Bitdefender.
Deaktivere systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle
http://vil.nai.com/vil/stinger/
http://www.spywarefri.dk/onlinevark.htm
Avatar billede m0204 Nybegynder
16. juni 2004 - 19:59 #12
Vi prøver at slå det fra ... Så må jeg se om den kommer igen. Du får point ;-)
Avatar billede fromsej Praktikant
17. juni 2004 - 16:51 #13
Tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
22 min siden Kopiere værdi fra 2 celler til en og hvis anden celle er tom, så skriv bestemt tekst Af HHA i Excel
I dag 08:56 Problem med WordPress-installation via One.com's 1-klik installation 🚨 Af tobiasandersen i Andre onlineløsninger
I dag 08:11 Generer word-dokument ud fra data i Excel Af albx i Excel
I går 17:40 Hvad kan jeg få får mit setup her Af Nicolai i PC
I går 17:00 Produktnøgle ikke aktiv? Af BornThisAj i Windows
White papers
Flere white papers »


Premium
Teaser billede
Top-profilen Helle Huss ny direktør i Microsoft Danmark - tiltræder om to måneder
Læs mere »
Danske Aeven flytter hele hovedkontoret med 600 medarbejdere til ny adresse og tager Sentia med
Politiets centrale datacenter trues af indtrængende vand: “Risiko for at politiets fagsystemer går ned”
Hårde tider for Danmarks største it-selskaber: Mere end en tredjedel af profitten er forduftet
Se alle »
Computerworld
Teaser billede
Om lidt går det løs: Så banebrydende bliver iPhone 16
Læs mere »
Nu kommer en af bilbranchens største software-opdateringer nogensinde
Lokker med ’Nordens hurtigste internet’: Sådan ved du, om du kan få adgang til Danmarks nyeste bredbåndsudbyder
Google frigiver Android 15 og kommer med nye funktioner
Se alle »
CIO
Teaser billede
Kommunerne brugte 6,6 milliarder kroner på it i 2023: Se top 10 over hvem der bruger flest penge
Læs mere »
De to største medlems-kommuner trækker sig fra det sjællandske it-fællesskab Digit
Microsoft vil have flere kunder ind i folden: Åbner for verdensomspændende rabat på Copilot M365
Dansk top-CIO har en nøglerolle ved kæmpe-opkøb: Her er hendes opskrift på succesfulde sammenlægninger
Se alle »
Job & Karriere
Teaser billede
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Læs mere »
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Sådan høster du forretningsfordelene ved Internet of Things
Læs mere »
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »