Hjælp, jeg giver op.

hvis du formatere din harddisk forsvinder alt. Men du har formentligt nogle data drev, du enten har taget backup af eller ikke formateret og der kan din Virus/spyware have ligget og ventet på at blive aktiveret/installeret igen.

Jeg har ikke vildt meget forstand på sådan en Log, men umiddelbart kan jeg ikke se noget der ser slemt ud i den. Men lad lige en der har mere forstand komme med sin vurdering.

Hvordan ved du at du har noget snavs?
Og hvad er navnet på dette snavs?

Jeg kan jo se det når jeg f. eks kører Ad-Aware. Programmet fortæller, at der er masser af inficerede filer mv., som jeg selvfølgelig fjerner, men der dukker nye op hele tiden.

Det er f. eks.:
b4lls.exe W32. Spybot.Worm
12838_upload.exe
crsss.exe W32. Spybot.Worm
i.pif Downlod Trojan
o Download Trojan
180searcAssistent.10
oneeigty.100

Har du prøvet andre spyware programmer?
Har du prøvet anden antivirus?

Har du prøvet spybot search & destroy, du finder den ved spywarefri.dk

Jeg har kørt/kører følgende programmer:

SpywareDoctor, SpyBot,Ad-Aware, eScan Antivirus, Trojan Hunter, Norton AV

Og de finder alle ovennævnte?

Hvornår installer du din spyware/antivirus/firewall?
Det skal gøres inden du går på nettet med maskinen.

crsss.exe: http://es.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=67015&VName=WORM_RBOT.ACY&VSect=T

i.pif: http://www.2-spyware.com/file-i.pif.html

Start lige med at fjerne de to sådan som det er beskrevet. Slå XP gendannelses funktion fra inden du begynder.

Hvis du har en firewall, så tror jeg ikke den er rigtigt konfigureret.
Bruger du en speciel screensaver og hvis ja, hvor har du så downloadet den?

1. væsentlige fejl: Du har tilsyneladende ingen M$ ServicePack instaleret ->
[1Klik.dk: Ubeskyttede pc’er holder i 20 minutter]:
http://1klik.dk/news_1klik/nyhed_32992.html

Du har ikke opdateret dit Windows XP til SP1/SP2.
Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.
Du kan hente SP1/SP2 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Så skal du hente en opdateringspakke med sikkerhedsopdateringer.
Det gør du her:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da

Til sidst skal du gå i start ->programmer ->Windowsupdate og lade din maskine scanne for opdateringer. Installer dem du får anbefalet.

Men din kværn skal være 'ren' før instalation af ServicePack2 !!!

Og vejen til en ren kværn kan være (har været for mig sidste gang) en reinstall uden netvært, installation af firewall og antivirus fra cd (Zonealarm og Avast) inden men tilslutter den nettet.

Majs>> Hvordan ser man at der ikke er en SP på?

Gør som beskrevet her punkt 1-4 http://www.spywarefri.dk/hjtanv.htm
og copy HELE loggen herind i denne tråd.

Ikke nødvendigvis mig der fuldføre den

Denne: Platform: Windows XP  (WinNT 5.01.2600)
Bedre: Platform: Windows XP SP2 (WinNT 5.01.2600)

... i først omgang behøver du ikke 3. parts programmet som Zonealarm, Avast, osv. Bare en korrekt opsat ServicePack2/XP's firewall er et godt stykke af vejen (+ lidt almindeligt snusfornuft).

Lidt om SP2 - nu da jeg ER igang:
Generelt - Diverse om SP2:
http://support.microsoft.com/xpsp2getinstall
http://www.abovergaard.dk/#/tip-og-tricks/foer-sp2.htm
http://www.eksperten.dk/artikler/459
http://www.hcma.dk/tips&tricks.htm#sp1mm

majs>> grunden til den anbefaling er at under en install af w2k fik blaster, inden maskinen var færdig installeret.

SP2 kan selvfølgelig slipstreames ind i XP, men det kræver at det er en original XP og at man har en ren maskine at gøre det fra.

... tilsidst vil jeg anbefale:
Microsoft® Windows AntiSpyware (Beta)
http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en

Men bør ikke (=læs: MÅ IKKE) have internettet tilsluttet under instalation af systemet og/eller ServicePacks. Om så det er XP, W2K, W9X, ME, ...

Alle ServicePack kan DL fra nævnte http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ og overføres til andet medie (CD) og så instalere DERFRA UDEN INTERNET TILSLUTTET som først punkt efter en rå/jomfrulig XP, W2K instalation...

Nå - nok om det.

<miria>: Må vi se en komplet log ?

Jeg ved ikke om det er det her du mener med en komplet log



Logfile of HijackThis v1.99.0
Scan saved at 08:28:38, on 18-01-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winms.exe
C:\WINDOWS\System32\winms.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
C:\WINDOWS\REGEDIT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\S\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aktienyt.dk/
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~2\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~2\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
O4 - HKLM\..\Run: [ambjsgv] C:\WINDOWS\System32\qdlwvnhtmw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\RunServices: [ambjsgv] C:\WINDOWS\System32\qdlwvnhtmw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Microsoft Update] phqghumea.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105795028019
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~2\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Skal jeg kigge den igennem?

<andersenph>: Go' For It' ...

Jamen så går der lige 5 minutter :O)

Godt så.

Det er meget vigtigt at du henter SP1 efter vi har fået din log ren, som mine kolleger så ganske rigtigt påpeger. Ellers er du lige vidt.

Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O4 - HKLM\..\Run: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\Run: [ambjsgv] C:\WINDOWS\System32\qdlwvnhtmw.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Storage Machine Service] winms.exe
O4 - HKLM\..\RunServices: [ambjsgv] C:\WINDOWS\System32\qdlwvnhtmw.exe
O4 - HKCU\..\Run: [Microsoft Update] phqghumea.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Gå i start -> søg og søg efter disse filer og mapper:

Mapper:

Ingen.

Filer:

C:\WINDOWS\System32\winms.exe
C:\WINDOWS\System32\qdlwvnhtmw.exe

Jeg ved godt at du har kørt den, men den opdateres jo dagligt, så tag lige et scan for en sikkerheds skyld. Fjern den du har liggende nu.

Download og kør denne engangscanner: http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.

hmm