Sindssygt mange "outgoing connections" gør pc'en langsom.

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Se bort fra denne linie:
"Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart."

Den kom med ved en fejl..

det kan være en orm der hedder W32.Simic.Worm, den spreder sig nemlig via messenger (msn.exe) måden at fjerne den på er således..

- disable systemgendannelse
- opdater antivirus/spywareprogrammer
- kør en fuld scaninng

bruger selv symatec antivirus og AVG(denne er gratis), af spywareprogrammer bruger jeg Ad-aware(gratis) og spybot(gratis), og zonealarm FW(for peresonal use og er gratis), jeps jeg er paranoid.

se mere på http://securityresponse.symantec.com/avcenter/venc/data/w32.simic.worm.html

Hermed den efterspurgte hijackthis-log.

Logfile of HijackThis v1.98.2
Scan saved at 23:19:43, on 25-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msn.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\Christinas\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [MSN] msn.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [MSN] msn.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSN] msn.exe
O4 - HKCU\..\RunServices: [MSN] msn.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101256242217
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [MSN] msn.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [MSN] msn.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSN] msn.exe
O4 - HKCU\..\RunServices: [MSN] msn.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101256242217
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab

...synes godt nok den er lang?

Dette har jeg allerede forsøgt. Der er ikke grænser for hvilke programmer jeg har scannet med. Panda onlinescan, Norton, Spybot, AddAware osv.

Der er virus i den. Du får lige en procedure om lidt ..

Grunden til at den er så lang er at der åbenbart er gået et eller andet galt under kopieringen af loggen da en del af det underste er der to gange.

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [MSN] msn.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [MSN] msn.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [MSN] msn.exe
O4 - HKCU\..\RunServices: [MSN] msn.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\System32\msn.exe
C:\WINDOWS\System32\winupdate.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Når loggen er erklæret ren bør du med det samme få opdateret med alle kritiske opdateringer på windowsupdate.

Tak for hjælpen indtil videre. Der er dog ingen msn.exe i system32-biblioteket, som der heller ikke var før!?

Hvad gør jeg?

Sorry, har fundet begge filer, de lå bare ikke i alfabetisk rækkefølge!! *s*
Tror jeg er ved at ha' den! *s*

Backdoor.win32.Rbot.gen var at finde i ret mange exe-filer, Kaspersky har kun renamed dem, er det mon nok?

Du kan manuelt slette dem efter du har kørt Kaspersky.
Jeg plejer at slette alt hvad den renamer, da jeg endnu ikke har oplevet at den har taget fejl.

Når du har gjort det så kom med en ny log :)

Jeps. Men hvordan kan man se hvad den renamer filerne til?

ah, de kommer til at hedde *.exe.mwt, ikke?

Undskyld jeg er en spørgejørgen, men hvorfor har jeg ikke adgang til c:\sytem volume information... ? Er det et problem, eller?

Øhm, ..man kan da ikke bare slette "system volume information", vel?

Jo, de kommer til at hedde *.exe.mwt

Du har ikek adgang til system volume information fordi det er en beskyttet mappe, men du kan slette dem på denne måde:

Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)
Så slettes alt i _restore, og det er der de ligger.

Hermed den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 01:27:03, on 26-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Softwin\AVX Live\avxlive.exe
C:\Programmer\SOFTWIN\AntiVirus eXpert Professional\mgui.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\Christinas\Skrivebord\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://politiken.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Murphy Shield.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101256242217
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab


Øhm, ved genstart kom murphy shield frem og sagde at svhost.exe forsøgte at ændre på mere end 20 filer og at det var virus-like activity?? Hvad er nu det? Jeg sagde selvfølgelig at den ikke måtte.

Problemet med en masse outgoing connections er dog løst! Hurra for det og points til dig, men har du nogen kommentar til det andet?

Ja, vi skal have fundet det der starter den svhost.exe.
Jeg har kigget mig lidt omkring og der lader til at være en service indblandet, så du skal lige gøre dette:
Download dette program, udpak det og kør det.
http://home.comcast.net/~rand1038/vbscript/ServiceFilter.zip
Den vil så lave en log som du smider herind, så jeg kan se den.

Loggen er forresten ren nu, så indtil vi har fået det sidste snavs skal du blot blive ved med at svare nej til at den må ændre de filer.
Grunden til at jeg ikke blot beder dig om at slette filen, er at det ikke hjalp noget de andre steder, så vi skal have fundet service'n først.

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600
nov 26, 2004 01:51:46


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AvxIni
Display Name: Avx Init Serv
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programmer\softwin\antivirus expert professional\avxinit.exe
State: Stopped
Process ID: 0
Started: Falsk
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Falsk

Unknown Service # 2
Service Name: KPF4
Display Name: Kerio Personal Firewall 4
Start Mode: Auto
Start Name: LocalSystem
Description: Kerio Personal Firewall ...
Service Type: Own Process
Path: c:\programmer\kerio\personal firewall 4\kpf4ss.exe
State: Running
Process ID: 1616
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

Unknown Service # 3
Service Name: XCOMM
Display Name: AVX Communicator
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\xcommsvr.exe
State: Running
Process ID: 1704
Started: Sand
Exit Code: 0
Accept Pause: Falsk
Accept Stop: Sand

---> End Service Listing <---

There are 77 Win32 services on this machine.
3 were unrecognized.

Script Execution Time: 15,15576 seconds.

Noget siger mig at det må være den sidste!?

Næ, det er da ikke 3'eren, det er jo Antivirus Xperts live-overvågning!!

Jeg kan oplyse at en fil der har opført sig  mærkeligt er: system32\logonui.exe og at Kerio har blocket en masse ICMP Redirect host - ting!! Hvis det er noget hjælp?

Hmm.. jeg havde håbet på at der var en firedaoemon service.

Prøv så dette:

Genstart i fejlsikret tilstand

Klik start kør, skriv regedit og tryk enter.

Klik rediger | søg, skriv svhost.exe i søgefeltet og tryk enter. Slet alle steder hvor denne fil er nævnt. (tryk F3 når du har slettet en for at fortsætte søgningen)

Slet derefter denne fil:
c:\windows\system32\svhost.exe

Genstart normalt og se om det hjalp.

logonui skulle være ok. Det er "Fast user switching" i xp.

Hmm, er det det samme hvis der er tale om svChost.exe? Skal jeg gøre det samme? *s*

Nå, bliver nødt til at gå i seng. Håber du er klar på at hjælpe videre imorgen eller en anden dag, mange tak for hjælpen indtil nu. Pointene er dine, men jeg venter med at give dem hvis det er ok, til vi her løst det hele!?

Igen tak.

svChost.exe er en ægte windows process og meget vigtig for windows, så den må du IKKE hverken søge i regedit eller slette i stifinder !!!!!

Virus forsøger at efterligne navne på vigtige systemfiler og derfor er virus'en navngivet svhost.exe, for at få folk til at forveksle den med svChost.exe.

Det med at vente med point er helt iorden. Vi er jo ikke færdige, blot fordi vi har slået symptomerne ned. Vi skal også lige have ram på kilden.

Jeg synes egentlig pc'en kører nogenlunde fint nu. Der er som sådan ikke nogen problemer. Jeg har lige kørt Panda Activescan og den fandt og disinficerede 3 filer og en trojanscanner fandt intet.

Inden jeg giver points ville jeg bare høre om du mener vi er færdige?

Det mener jeg vi er *s*
Hvis du er tilfreds med hvordan pc'en kører og der ikke længere er alram fra antivirus eller firewall, så er vi vist færdige :)

Så fik jeg endelig accepteret svaret. Undskyld det tog så lang tid.

Helt iorden. Takker for point :)