Avatar billede bottos Nybegynder
22. juli 2004 - 11:50 Der er 14 kommentarer og
1 løsning

rpc update

Mærkeligt, har læst om hvad i mener om den RPC der kommer frem i ny og næ på folks putere, jeg får i ny og næ den frem, men min norton nupper den og sætter den i karantæne og jeg sletter den så, men den bliver ved med at komme frem.

Men det korte og det lange er ALT mit Windows er fuldstændig opdateret og Norton og alt, men den bliver ved med at komme frem??

Er det Sasser, Virus eller andet, den bliver kaldt W32.spybot.worm i norton.
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 12:01 #1
Den udnytter ihvertfald den samme sårbarhed som sasser:
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html

Kører du noget kazaa eller p2p netværk ?
Avatar billede bottos Nybegynder
22. juli 2004 - 12:39 #2
kører intet og har intet installeret, og jeg har haft slettet den flere gange, bare filen via norton, men det er åbenbart ikke nok, jeg skal nok ind og kigge på registry og pis og lort, som der står i det link du har sendt.
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 12:49 #3
I det flg går jeg ud fra at du har XP ?

Du skal starte med at sætte firewall på din internetforbindelse.
Det gør du i indstillinger | netværksforbindelse | lanforbindelse
klik egenskaber | avanceret, sæt hak i den øverste boks "beskyt computeren ..."

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Hent denne scanner.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Kør scanneren, og følg så næste vejledning.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Avatar billede bottos Nybegynder
22. juli 2004 - 12:59 #4
jeg kigger på det i aften, når jeg er kommet hjem, har lige fået ordnet det den anden dag af dig, men det var noget andet, og RPC havde jeg slettet, men den kommer tilbage hele tiden.
Avatar billede bottos Nybegynder
22. juli 2004 - 13:08 #5
men den rpc er jo væk når jeg kommer hjem, den sletter jeg i norton er i quarantine, og så kan den vel ikke ses i hijackthis??
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 13:23 #6
Nej det har du ret i.
Ovenstående er et standard "script" og den mest betydende er faktisk den øverste mht at sætte firewall på maskinen. Hvis din maskine af en eller anden grund stadig er sårbar, vil den forhindre angreb og blokere dem, så du ikke får boksen længere.

Resten er blot for at gå med livrem og seler.

Men jeg har muligvis misforstået situationen siden du siger at selve filen hedder noget med rpc ?
Jeg læste det som om du fik en boks omh rpc der lukkede ned.
Avatar billede bottos Nybegynder
22. juli 2004 - 13:29 #7
synes bare altid jeg har fået at vide den firewall i xp var skidt, men jeg sætter den til så snart jeg kan, så kan det være jeg ikke får den mere.

Men det jeg har liggende ifølge Norton er følgende:

Scan type:  Realtime Protection Scan
Event:  Virus Found!
Virus name: W32.Spybot.Worm
File:  G:\Documents and Settings\Henrik\Dokumenter\RPC update patch.exe
Location:  Quarantine
Computer:  HENRIK-********
User:  Gæst
Action taken:  Clean failed : Quarantine succeeded : Access denied
Date found: Thu Jul 22 11:40:33 2004

det er problemet.
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 13:45 #8
Ok, umiddelbart er det jo positivt at Norton napper den og smider den i karantæne, men at den bliver ved med at brokke sig over det er ikke så godt. Jeg havde på et tidspunkt aktiveret gæste kontoen på min pc på arbejdet, og det gjorde at jeg oplevede nogenlunde det samme som du. Så check lige at gæste-kontoen ikke er aktiv.

Har du flere computere på netværket hjemme. Hvis du har så prøv at scanne dem for virus og se om virus'en kommer fra en af dem.
Avatar billede bottos Nybegynder
22. juli 2004 - 13:55 #9
ok, gæstekontoen?? gider du forklare nærmere hvordan jeg stopper det evt.?

men mon ikke hvis jeg aktiverer firewall at den tager den.
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 14:00 #10
Du går ind i kontrol panelet, brugerkonti og der står brugerne som har adgang til pc'en. Check at der står at gæstekontien ikke er aktiveret.

Jo firewall'en burde nappe den. hvis den er "udefra kommende".
Avatar billede bottos Nybegynder
22. juli 2004 - 18:08 #11
Nu har jeg aktiveret firewall, og min gæstekonto var ikke kørende, og jeg har kørt den virusscanner som du skrev jeg skulle prøve, den slettede en infected dll-fil det var alt.

så min rpc havde været kommet 3 gange tidligere i dag da min kæreste brugte puteren, men alle var i quarantine.

Men for en sikkerheds skyld er der her en hijackthis du kan tjekke, jeg kommer hjem senere og ser hvad det blev til8) takker.


Logfile of HijackThis v1.97.7
Scan saved at 18:09:31, on 22-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Microsoft IntelliPoint\point32.exe
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\Spamihilator\spamihilator.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
D:\Temp\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Spamihilator] "G:\Programmer\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29d60cd0eb33119de220/netzip/RdxIE601.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk/foto/components/photoupload.ocx
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38074.5578472222
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EDAF796E-9210-4417-ADDC-2AB18E4F6C27} (Hjemmeside.KvikFoto) - http://www.123hjemmeside.dk/builder/pages/KvikFoto.cab
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 18:51 #12
Der var ikke rigtigt noget. Vi plejer at fixe disse 2 fordi de er unødvendige, men de har intet med dit problem at gøre:

O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 18:56 #13
Jeg tror at firewall'en løser problemet. Hvis man kigger i siden fra symantec står der denne oplysning:

Distribution

Shared drives: Spreads using the KaZaA file-sharing network, as well as through mIRC.

Firewall'en burde lukke for dette.
Avatar billede bottos Nybegynder
22. juli 2004 - 19:55 #14
ok ok

jeg har slettet de to ting, som du sagde, håber og tror det virker, men man ved jo aldrig

takker
Avatar billede tonnybrandt Nybegynder
22. juli 2004 - 20:04 #15
Velbekomme og takker for point *s*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester