CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede collin Nybegynder
22. august 2008 - 20:39 Der er 6 kommentarer og
1 løsning

W32/Autorun

Jeg er blevet smittet! Jeg har den seneste udgave af Panda, fuldstændig opdateret, og den opfanger en orm der hedder W32/PerwallA.worm som givetvis er en variant af W32/Autorun. Panda desinficerer på livet løs men lige lidt hjælper det, for den skjuler sig eller omformer sig, dukker op i ny forklædning gendanner sine hærværk som er at lave en super usynlig autorun.inf på hver drev, også de flytbare, usb stik osv. som sætter gang i en falsk - og også usynlig - MS Dos.Com fil ændrer på administrator rettigheder, omdøber mapper ved at give dem en .exe efternavn, så de ikke kan omdøbes tilbage, o.m.a. Jeg har downloadet og kørt det ene værktøj efter den andet men til sidste måtte opgive, redder hvad reddes kunne til en web baseret drev, og formatere min hardisk, koble min reserve disk fra og genistallere. Men reservedisken, som har min musik film, dokumenter osv er stadig inficeret og derfor kan jeg ikke koble den på igen. Er der nogen der har erfaring med denne virus, og kan vejlede mig om hvordan jeg kan få mine data tilbage?
Avatar billede levich Nybegynder
22. august 2008 - 20:44 #1
Download "Malwarebytes' Anti-Malware" her: http://www.malwarebytes.org/mbam.php
Installer programmet, start det, lav "fuld systemscanning" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

Bagefter hent http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind.
Avatar billede Computer Hjælp (Gratis) Mester
23. august 2008 - 00:16 #2
Provocation - mon vi hører/læser fra <collin> igen ? -> http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp
Avatar billede levich Nybegynder
23. august 2008 - 00:49 #3
:-( Nej det ser ikke for godt ud.
Avatar billede collin Nybegynder
23. august 2008 - 21:58 #4
Rolig nu! Det der ikke ser for godt ud er min hard disk. Jeg var lige ved at tro på at Malwarebytes havde klaret det... men så kom det som en flodbølge. Jeg har forsøgt med 8 -9 af den slags, jeg har scannet og slettet i fejlsikret tilstand, jeg har manuelt fjernet filer fra kommando prompten, skjult mine ekstra drev med Gdisk, den S****n vender tilbage uanset hvad. Inficering er vendt tilbage til roden. Jeg har søgt Internet og anti virus firmaers hjemmesider tyndt, jeg kan ikke løse den her. Det bliver en formatering og geninstallation desværre. Her er malwarebytes log:

Malwarebytes' Anti-Malware 1.25
Database version: 1062
Windows 5.1.2600 Service Pack 3

17:52:21 23-08-2008
mbam-log-08-23-2008 (17-52-21).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 71252
Tid tilbagelagt: 34 minute(s), 17 second(s)

Inficerede Hukommelses Processer: 3
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 6
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 1
Inficerede Filer: 3

Inficerede Hukommelses Processer:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe (Trojan.Agent) -> Unloaded process successfully.

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Delete on reboot.

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E} (Trojan.Agent) -> Delete on reboot.

Inficerede Filer:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe (Trojan.Agent) -> Delete on reboot.


og her er Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 21:40:11, on 23-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programmer\Fælles filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
C:\Programmer\Panda Security\Panda Internet Security

2008\AntiSpam\pskmssvc.exe
c:\programmer\panda security\panda internet security

2008\firewall\PSHOST.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\VIRUSfighter\nse\bin\NSESVC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\ApvxdWin.exe
C:\Programmer\Fælles filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\Programmer\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\ASUSTek\ASUSDVD\PDVDServ.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\Programmer\Logitech\QuickCam\Quickcam.exe
C:\Programmer\Fælles filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programmer\RALINK\Common\RaUI.exe
C:\Programmer\Fælles filer\Logishrd\LQCVFX\COCIManager.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programmer\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles

filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iebho Class - {296AE49F-E195-4835-895C-91788B938DF8} -

C:\WINDOWS\ieiebho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no

file)
O2 - BHO: Hjælp til tilmelding til Windows Live -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles

filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper -

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live

Toolbar\msntb.dll
O3 - Toolbar: 1Click ImageExtractor -

{5DE4E98D-DE09-4BC3-8A70-A6D9A24F4EC9} - C:\WINDOWS\1cie.dll
O3 - Toolbar: Windows Live Toolbar -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live

Toolbar\msntb.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Security\Panda

Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmer\Panda Security\Panda

Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmer\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher]

"C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl]

C:\Programmer\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\VIRUSfighter\Npm\bin\ZLH.EXE"

/LOAD /SPLASH
O4 - HKLM\..\Run: [] C:\WINDOWS\system\KEYBOARD.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon]

"C:\Programmer\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmer\Fælles

filer\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe
O4 - Global Startup: Ralink Wireless Utility.lnk =

C:\Programmer\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search -

res://C:\Programmer\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -

http://favorites.live.com/quickadd.aspx
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmer\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

-

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/clie

nt/wuweb_site.cab?1218353547431
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll

(file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA -

C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programmer\Fælles

filer\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. -

C:\Programmer\Fælles filer\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmer\Fælles

filer\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Norman NJeeves - Norman ASA -

C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA -

C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Unknown owner -

C:\VIRUSfighter\nse\bin\NSESVC.EXE" -daemon (file missing)
O23 - Service: Norman Virus Control on-access component (nvcoas) -

Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman

ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International

- C:\Programmer\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda

Software - C:\Programmer\Fælles filer\Panda

Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software

International - c:\programmer\panda security\panda internet security

2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\PsImSvc.exe

Det er  fonts.exe der dukker op gang på gang. Laver en boom.vbs i mappen C:\Windows\Cursors som smutter hvis man prøver at fange den og undersøge den. Og så bruger den dllcache til at lagre sit skidt op klare til at sende ud. Men intet ser ud til at kunne dræbe den.
Avatar billede Computer Hjælp (Gratis) Mester
23. august 2008 - 23:13 #5
Hmmm...
* Panda Security
* Norman Virus Control
Samtidig ???

<levich>: Du fortsætter bare; eller ska' vi bare lade <collin> vente vente vente *S* ?
Som de andre i http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp

(Undskyld det er vist lidt frækt?)
Avatar billede levich Nybegynder
24. august 2008 - 20:18 #6
vente vente vente ;-)
Avatar billede collin Nybegynder
27. august 2008 - 10:18 #7
Ok ok der var vist et par spørgsmål jeg for længst skulle have haft lukket for. Jeg kan se at i et par tilfælde har intentionerne været gode nok. Jeg har bare undladt (eller måske ikke forstået at jeg skulle) at markere et navn inden jeg trykkede på Accept knappen. I andre tilfælde var der ikke kommet noget gyldigt svar og jeg havde efterladte dem åbne og dernæst glemt dem. Men når folk begynde at brokke sig over udeblivende respons allerede indenfor 24 timer efter spørgsmålets oprettelse så synes jeg de har lige at tage og slappe lidt af. Der findes faktisk mennesker som har et liv ved siden af computer skærmen med job, familie osv at passe. Og så kunne det også være at lige netop fordi det er computeren man har problemer med, kan det være svært at komme på nettet??!

Nåh det var så det trivielle - lad mig nu komme til sagen og så kunne jeg måske samtidigt bøde for mine synder ved at gøre forumets læsere en lille tjeneste. Den var nemlig en meget styk virus og to døgns sved, forskning og alle mulige kreative forsøg var ikke nok til at dræbe den. Jeg endte med at smitte endnu en maskin pga en USB stik, og har måttet formatere og genistallere begge, men jeg fik reddet mine data, og er nu virus fri. Min advarsel er således: vær på vagt for den W32/PerwallA.worm virus. Får du den alligevel, så fjern alle tilkoblede drev og geninstallere, eller måske hvis du har en, lav en ny installation på en ekstra disk. Installer en fuldt opdateret virus program og så, en efter en, kan du tilkoble dine ekstra drev på, starte op I FEJLSIKRET TILSTAND og køre en virus scan. De tilkoblede drev bliver smittet på en enkel måde, ved at der lægges to små korrupte filer - autorun.inf og MS-Dos.com på drevets rod. Og disse filer gøres - på en eller anden måde - super usynlige så de ikke kan ses i Stifinderen selv om du har konfigueret stifinderen til at vise alt. Denne autorun.inf må ikke få lov at køre, så derfor brug Fejlsikret tilstand. Filerne kan dog afsløres fra en kommand prompt ved at du står i drevets rod og indtaste DIR /ASHR. For at slette dem hvis virus programmet ikke har gjort det, skal du indtaste DEL /AH /f autorun.inf og DEL /AH /f MS-Dos.Com. Hvis du prøver DEL kommandoen i Windows normal tilstand ville filerne blive genoprettet indenfor 1 sekund og du vil igen smitte dit system drev.

En anden måske mere sikker og mindre besværlig metode kan tages i brug hvis du har Partition Magic. Med Partition Magic kan du skjule dine tilkoblede drev (men ikke USB stik o.l.). Efter de er skjult vil de ikke kunne ses hverken af Windows eller fra en kommando prompt, og derfor hellere ikke af Perwall ormen. Men Partition Magic har en browser som alligevel kan se de drev den har skjult, og den browser vil afsløre, og give dig mulighed for at slette, autorun.inf os MS-Dos.Com på de tilkoblede drev, uden at ormen får mulighed for at genoprette dem. Så efter du har formateret og geninstalleret, og geninstalleret Partition Magic, kan du trygt gøre dine drev synlige igen. Du vil stædigt blive nødt til at bruge Fejlsikret tilstand for at slette Autorun.inf og MS-Dos.Com på dine USB stik. Jeg har tilmed en online drev (Humyo.com) og filerne Autorun.inf og MS-Dos.Com fandtes også der men den fungerer heldigvis på anden måde end en fysiske tilkoblet drev, så den kunne ikke smitte tilbage igen og det var en nem sag bare at slette dem der.

Jeg fik ikke afprøvet om jeg kunne tage mit system drev ud og koble den på en anden maskin som slave for dernæst at køre en virus scanning på den. Jeg tror ikke den vil virke fordi MS-Dos.Com ændrer nogle nøgler i reg. databasen som indstiller computeren til at opsøge spyware på nogle internet adresser. Og hvis drevet var koblet på som slave, så formoder jeg at reg. db ville behandles som en hvilken som helst tekstbaseret fil og ikke som reg. db. Men som sagt, har jeg ikke afprøvet det.

Jeg bliver ikke knækket af lidt frækhed, går også ud fra I heller ikke bliver det. Tværtimod tager jeg jeres bemærkninger til efterretning, så nu må jeg pænt lukke spørgsmålet ned, sige pæn tak for jeres tålmodighed og forhåbentligt på gensyn. Er vi så nu tilfreds?

http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Password sikkerhed Af jhjorsal i Andet sikkerhed 2 13/07/202413:12 13/07/202422:46
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 18:46 Kan det passe ;-) Af fjorbak i Routere & Switches
I dag 15:27 Billeder kan ikke åbnes Jpeg.modd Af KristinaS i Billedbehandling
I dag 13:44 eM Client Af valby i E-mail programmer
I dag 13:33 Facebook gruppe Af Btimmer i Sociale medier
I dag 13:03 Betinget formatering Af Ninna i Excel
White papers
Flere white papers »


Premium
Teaser billede
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?
Læs mere »
Europas største software-leverandør stryger frem på cloud-fronten – men 97 procent af overskuddet er forduftet
Frustrerede synshaller og billister: Motorstyrelsens it-system plages af store driftsforstyrrelser
Fire år gamle Wiz takker nej til Alphabets historiske opkøbstilbud på 160 milliarder kroner: Satser i stedet på børsnotering
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Sådan forbereder energiselskabet OK sig på cyberangreb: "Prisen for ikke at gøre noget kan være forfærdeligt høj"
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Sådan gør du: Elektronisk dokumentudveksling i praksis
Læs mere »
SASE: Træf det rette valg – første gang
Samlet platform sikrer sammenhæng, kontrol og sikkerhed i hybrid cloud
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »