rpc update

Den udnytter ihvertfald den samme sårbarhed som sasser:
http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.worm.html

Kører du noget kazaa eller p2p netværk ?

kører intet og har intet installeret, og jeg har haft slettet den flere gange, bare filen via norton, men det er åbenbart ikke nok, jeg skal nok ind og kigge på registry og pis og lort, som der står i det link du har sendt.

I det flg går jeg ud fra at du har XP ?

Du skal starte med at sætte firewall på din internetforbindelse.
Det gør du i indstillinger | netværksforbindelse | lanforbindelse
klik egenskaber | avanceret, sæt hak i den øverste boks "beskyt computeren ..."

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Hent denne scanner.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Kør scanneren, og følg så næste vejledning.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

jeg kigger på det i aften, når jeg er kommet hjem, har lige fået ordnet det den anden dag af dig, men det var noget andet, og RPC havde jeg slettet, men den kommer tilbage hele tiden.

men den rpc er jo væk når jeg kommer hjem, den sletter jeg i norton er i quarantine, og så kan den vel ikke ses i hijackthis??

Nej det har du ret i.
Ovenstående er et standard "script" og den mest betydende er faktisk den øverste mht at sætte firewall på maskinen. Hvis din maskine af en eller anden grund stadig er sårbar, vil den forhindre angreb og blokere dem, så du ikke får boksen længere.

Resten er blot for at gå med livrem og seler.

Men jeg har muligvis misforstået situationen siden du siger at selve filen hedder noget med rpc ?
Jeg læste det som om du fik en boks omh rpc der lukkede ned.

synes bare altid jeg har fået at vide den firewall i xp var skidt, men jeg sætter den til så snart jeg kan, så kan det være jeg ikke får den mere.

Men det jeg har liggende ifølge Norton er følgende:

Scan type:  Realtime Protection Scan
Event:  Virus Found!
Virus name: W32.Spybot.Worm
File:  G:\Documents and Settings\Henrik\Dokumenter\RPC update patch.exe
Location:  Quarantine
Computer:  HENRIK-********
User:  Gæst
Action taken:  Clean failed : Quarantine succeeded : Access denied
Date found: Thu Jul 22 11:40:33 2004

det er problemet.

Ok, umiddelbart er det jo positivt at Norton napper den og smider den i karantæne, men at den bliver ved med at brokke sig over det er ikke så godt. Jeg havde på et tidspunkt aktiveret gæste kontoen på min pc på arbejdet, og det gjorde at jeg oplevede nogenlunde det samme som du. Så check lige at gæste-kontoen ikke er aktiv.

Har du flere computere på netværket hjemme. Hvis du har så prøv at scanne dem for virus og se om virus'en kommer fra en af dem.

ok, gæstekontoen?? gider du forklare nærmere hvordan jeg stopper det evt.?

men mon ikke hvis jeg aktiverer firewall at den tager den.

Du går ind i kontrol panelet, brugerkonti og der står brugerne som har adgang til pc'en. Check at der står at gæstekontien ikke er aktiveret.

Jo firewall'en burde nappe den. hvis den er "udefra kommende".

Nu har jeg aktiveret firewall, og min gæstekonto var ikke kørende, og jeg har kørt den virusscanner som du skrev jeg skulle prøve, den slettede en infected dll-fil det var alt.

så min rpc havde været kommet 3 gange tidligere i dag da min kæreste brugte puteren, men alle var i quarantine.

Men for en sikkerheds skyld er der her en hijackthis du kan tjekke, jeg kommer hjem senere og ser hvad det blev til8) takker.


Logfile of HijackThis v1.97.7
Scan saved at 18:09:31, on 22-07-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\WINDOWS\SOUNDMAN.EXE
G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
G:\Programmer\Microsoft IntelliPoint\point32.exe
G:\Programmer\NavNT\vptray.exe
G:\Programmer\Logitech\Profiler\lwemon.exe
G:\Programmer\Spamihilator\spamihilator.exe
G:\Programmer\NavNT\defwatch.exe
G:\WINDOWS\System32\DVDRAMSV.exe
G:\WINDOWS\system32\cba\pds.exe
G:\Programmer\NavNT\rtvscan.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\system32\cba\xfr.exe
G:\WINDOWS\system32\MsgSys.EXE
D:\Temp\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "G:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [vptray] G:\Programmer\NavNT\vptray.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "G:\Programmer\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [Spamihilator] "G:\Programmer\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29d60cd0eb33119de220/netzip/RdxIE601.cab
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk/foto/components/photoupload.ocx
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - https://mysupport.nai.com/AmIUpToDate/bin/1,0,0,7/McUpdatePortal.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38074.5578472222
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EDAF796E-9210-4417-ADDC-2AB18E4F6C27} (Hjemmeside.KvikFoto) - http://www.123hjemmeside.dk/builder/pages/KvikFoto.cab

Der var ikke rigtigt noget. Vi plejer at fixe disse 2 fordi de er unødvendige, men de har intet med dit problem at gøre:

O4 - HKLM\..\Run: [TkBellExe] "G:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programmer\QuickTime\qttask.exe" -atboottime

Jeg tror at firewall'en løser problemet. Hvis man kigger i siden fra symantec står der denne oplysning:

Distribution

Shared drives: Spreads using the KaZaA file-sharing network, as well as through mIRC.

Firewall'en burde lukke for dette.

ok ok

jeg har slettet de to ting, som du sagde, håber og tror det virker, men man ved jo aldrig

takker

Velbekomme og takker for point *s*