CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede goldenbaek Nybegynder
16. marts 2006 - 00:44 Der er 7 kommentarer og
1 løsning

Hvordan kommer jeg af med W32.Spybot.Worm

Hej.
Jeg har fået en virus der hedder W32.Spybot.Worm
Det er Norton der har fundet den og siger at den ikke kan slette den. Hvordan kommer jeg af med den
AVG har fundet en der hedder Worm/Agobot.BHJ og den siger også at den ikke kan slette den eller move to vault, hvad gør jeg ved den.....Hjælpppp
VH
Jesper.
Avatar billede miss-g Seniormester
16. marts 2006 - 02:16 #1
En fik fjernet w32.spybot.worm via denne opskrift:
http://www.eksperten.dk/spm/534868

Ellers er de meget dygtige til den slags inde på www.spywarefri.dk *S*
Avatar billede ejvindh Ekspert
16. marts 2006 - 08:28 #2
Hvis du vil forsøge metoden fra 534868, skal du nok bruge følgende link, idet mwav på ovenstående link ikke FJERNER de infektioner, som den finder *S*
http://www.spywareinfo.dk/download/mwav.exe

Hvis ikke det virker, vil jeg anbefale at bruge Hijackthis/Ewido-metoden. Det er også den, der bruges inde på spywarefri:

Download Hijackthis:
http://danborg.org/spy1/HJT/hijackthis.exe

Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

Genstart til fejlsikret tilstand.
Kør en fuld scanning med Ewido, og lad den fjerne, hvad den finder. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

Genstart til normal tilstand. Kør Hijackthis.exe. Klik på "Do a systemscan and save a logfile". Efter kort tid åbnes et notepad-vindue med en logfil. Kopiér indholdet af denne logfil herind i denne tråd sammen med Ewido-loggen.
Avatar billede goldenbaek Nybegynder
18. marts 2006 - 23:47 #3
Ewido gav følgende log:
---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            23:39:56, 18-03-2006
+ Rapport-Checksum:        9824D20E

+ Scanningsresultat:
    C:\Documents and Settings\j\Cookies\j@2o7[2].txt -> TrackingCookie.2o7 : Renset med backup
    C:\Documents and Settings\j\Cookies\j@adtech[1].txt -> TrackingCookie.Adtech : Renset med backup
    C:\Documents and Settings\j\Cookies\j@advertising[1].txt -> TrackingCookie.Advertising : Renset med backup
    C:\Documents and Settings\j\Cookies\j@atdmt[2].txt -> TrackingCookie.Atdmt : Renset med backup
    C:\Documents and Settings\j\Cookies\j@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Renset med backup
    C:\Documents and Settings\j\Cookies\j@com[1].txt -> TrackingCookie.Com : Renset med backup
    C:\Documents and Settings\j\Cookies\j@doubleclick[2].txt -> TrackingCookie.Doubleclick : Renset med backup
    C:\Documents and Settings\j\Cookies\j@mediaplex[1].txt -> TrackingCookie.Mediaplex : Renset med backup
    C:\Documents and Settings\j\Cookies\j@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Renset med backup
    C:\Documents and Settings\j\Cookies\j@questionmarket[1].txt -> TrackingCookie.Questionmarket : Renset med backup
    C:\Documents and Settings\j\Cookies\j@server.iad.liveperson[2].txt -> TrackingCookie.Liveperson : Renset med backup
    C:\Documents and Settings\j\Cookies\j@serving-sys[2].txt -> TrackingCookie.Serving-sys : Renset med backup
    C:\Documents and Settings\j\Cookies\j@stat.onestat[2].txt -> TrackingCookie.Onestat : Renset med backup
    C:\Documents and Settings\j\Cookies\j@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Renset med backup
    C:\Documents and Settings\j\Cookies\j@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Renset med backup
    C:\WINDOWS\system32\host.exe -> Backdoor.Agobot.afk : Renset med backup


::Rapport slut

Hijackhits gav følgende log:
Logfile of HijackThis v1.99.1
Scan saved at 23:44:34, on 18-03-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\ATKKBService.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\j\Lokale indstillinger\Temporary Internet Files\Content.IE5\2NMBML2V\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programmer\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe  /start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116fd.bay116.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe

Håber at det giver mening......
Avatar billede ejvindh Ekspert
19. marts 2006 - 19:48 #4
Det giver udmærket mening. Ewido fandt en enkelt, og der er ikke noget særligt at se i loggen fra Hijackthis. Får du stadig meldingen fra Norton? Hvis ja, så prøv at køre en scanning med dette værktøj:

Hent Dr. Web, og gem det på skrivebordet:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart til fejlsikret tilstand (tryk F8 under opstarten)

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Vejledning i billeder findes her:
http://fromsej.dk/Vejledninger/html/drweb.html
Avatar billede goldenbaek Nybegynder
19. marts 2006 - 23:21 #5
Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 30994
Infected objects found: 5
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 5
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 1690 Kb/s
Scan time: 00:14:44
Avatar billede ejvindh Ekspert
20. marts 2006 - 09:11 #6
Det ser godt ud. Dr.Web fandt yderligere 5, som den slettede. Har du stadig problemet?
Avatar billede goldenbaek Nybegynder
20. marts 2006 - 19:55 #7
Nej, det der ikke sådan ud. når jeg kører norton finder den ikke W32.Spybot.Worm
mere, så den er vel væk..... Tak for hjælpen.
Avatar billede ejvindh Ekspert
20. marts 2006 - 20:07 #8
Det var så lidt. Jeg takker for point :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 15:53 Ccleaner og Avast Premium Af nu_igen i Andet software
I dag 14:41 Fremme e-mail konti, YouSee Webmail, i Outlook.com (gratis) Af mort1 i E-mail programmer
I dag 13:13 Returnere korrekt værdi ved dubletter Af karina1971 i Excel
I dag 08:56 HP support Af gerhardpet i Printere
I går 16:41 Me.Form.Painting = True/False ore Me.Painting = True/false Af per2edb i Access
White papers
Flere white papers »


Premium
Teaser billede
Forslag til dansk AI-lov sendes nu i høring: Skal træde i kraft om få måneder - se det her
Læs mere »
It-leverandør ramt af flodbølge af erstatningskrav fra kunder efter cyberangreb
Vokseværk: Så meget er Digitaliseringsstyrelsen vokset på to år
Microsoft: Sådan stjæler hackere data fra vores kunder
Se alle »
Computerworld
Teaser billede
Russisk domstol: Google skal betale 20 kvintilliarder dollar i bøde - fordobles løbende
Læs mere »
Test: Det er nærmest vanedannede at anvende disse mini-tastaturer
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Test af Apple Watch Series 10: Apples jubilæums-model er blevet lidt af en mester af det hele
Se alle »
CIO
Teaser billede
Novo Nordisk satsede på HoloLens, men nu har Microsoft dræbt produktet
Læs mere »
It-leverandør ramt af flodbølge af erstatningskrav fra kunder efter cyberangreb
Microsoft: Sådan arbejder Google målrettet på at skade os i det skjulte
Jyske Bank er en af de største ejere af Bankdata – men nu har banken købt et nyt system hos konkurrenten BEC
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Danske Aeven flytter hele hovedkontoret med 600 medarbejdere til ny adresse og tager Sentia med
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Se alle »
White paper
Teaser billede
Informationshåndtering på frontlinjen: Sådan optimerer du med automatisering
Læs mere »
Cyberstatus 2024: Her er truslerne – og her forbereder virksomhederne sig
Sådan får du overblik og beskytter dine cloudapplikationer
Styrk compliance, sikkerhed og overblik med ét hug
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »