W32/Autorun

Download "Malwarebytes' Anti-Malware" her: http://www.malwarebytes.org/mbam.php
Installer programmet, start det, lav "fuld systemscanning" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

Bagefter hent http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind.

Provocation - mon vi hører/læser fra <collin> igen ? -> http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp

:-( Nej det ser ikke for godt ud.

Rolig nu! Det der ikke ser for godt ud er min hard disk. Jeg var lige ved at tro på at Malwarebytes havde klaret det... men så kom det som en flodbølge. Jeg har forsøgt med 8 -9 af den slags, jeg har scannet og slettet i fejlsikret tilstand, jeg har manuelt fjernet filer fra kommando prompten, skjult mine ekstra drev med Gdisk, den S****n vender tilbage uanset hvad. Inficering er vendt tilbage til roden. Jeg har søgt Internet og anti virus firmaers hjemmesider tyndt, jeg kan ikke løse den her. Det bliver en formatering og geninstallation desværre. Her er malwarebytes log:

Malwarebytes' Anti-Malware 1.25
Database version: 1062
Windows 5.1.2600 Service Pack 3

17:52:21 23-08-2008
mbam-log-08-23-2008 (17-52-21).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 71252
Tid tilbagelagt: 34 minute(s), 17 second(s)

Inficerede Hukommelses Processer: 3
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 6
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 1
Inficerede Filer: 3

Inficerede Hukommelses Processer:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe (Trojan.Agent) -> Unloaded process successfully.

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRun.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Delete on reboot.

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E} (Trojan.Agent) -> Delete on reboot.

Inficerede Filer:
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe (Trojan.Agent) -> Delete on reboot.


og her er Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 21:40:11, on 23-08-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programmer\Fælles filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
C:\Programmer\Panda Security\Panda Internet Security

2008\AntiSpam\pskmssvc.exe
c:\programmer\panda security\panda internet security

2008\firewall\PSHOST.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\PsImSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\VIRUSfighter\nse\bin\NSESVC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\ApvxdWin.exe
C:\Programmer\Fælles filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programmer\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\svchost.exe
C:\Programmer\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F

954E}\system.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\ASUSTek\ASUSDVD\PDVDServ.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\Programmer\Logitech\QuickCam\Quickcam.exe
C:\Programmer\Fælles filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programmer\RALINK\Common\RaUI.exe
C:\Programmer\Fælles filer\Logishrd\LQCVFX\COCIManager.exe
C:\Programmer\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programmer\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles

filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iebho Class - {296AE49F-E195-4835-895C-91788B938DF8} -

C:\WINDOWS\ieiebho.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no

file)
O2 - BHO: Hjælp til tilmelding til Windows Live -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles

filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper -

{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live

Toolbar\msntb.dll
O3 - Toolbar: 1Click ImageExtractor -

{5DE4E98D-DE09-4BC3-8A70-A6D9A24F4EC9} - C:\WINDOWS\1cie.dll
O3 - Toolbar: Windows Live Toolbar -

{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\Windows Live

Toolbar\msntb.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Security\Panda

Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programmer\Panda Security\Panda

Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programmer\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher]

"C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl]

C:\Programmer\ASUSTek\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] "C:\VIRUSfighter\Npm\bin\ZLH.EXE"

/LOAD /SPLASH
O4 - HKLM\..\Run: [] C:\WINDOWS\system\KEYBOARD.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon]

"C:\Programmer\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmer\Fælles

filer\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [] C:\WINDOWS\system32\dllcache\Default.exe
O4 - Global Startup: Ralink Wireless Utility.lnk =

C:\Programmer\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search -

res://C:\Programmer\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites -

http://favorites.live.com/quickadd.aspx
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -

C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmer\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

-

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/clie

nt/wuweb_site.cab?1218353547431
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll

(file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA -

C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programmer\Fælles

filer\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. -

C:\Programmer\Fælles filer\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmer\Fælles

filer\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Norman NJeeves - Norman ASA -

C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA -

C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Unknown owner -

C:\VIRUSfighter\nse\bin\NSESVC.EXE" -daemon (file missing)
O23 - Service: Norman Virus Control on-access component (nvcoas) -

Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman

ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International

- C:\Programmer\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda

Software - C:\Programmer\Fælles filer\Panda

Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software

International - c:\programmer\panda security\panda internet security

2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software

International - C:\Programmer\Panda Security\Panda Internet Security

2008\PsImSvc.exe

Det er  fonts.exe der dukker op gang på gang. Laver en boom.vbs i mappen C:\Windows\Cursors som smutter hvis man prøver at fange den og undersøge den. Og så bruger den dllcache til at lagre sit skidt op klare til at sende ud. Men intet ser ud til at kunne dræbe den.

Hmmm...
* Panda Security
* Norman Virus Control
Samtidig ???

<levich>: Du fortsætter bare; eller ska' vi bare lade <collin> vente vente vente *S* ?
Som de andre i http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp

(Undskyld det er vist lidt frækt?)

vente vente vente ;-)

Ok ok der var vist et par spørgsmål jeg for længst skulle have haft lukket for. Jeg kan se at i et par tilfælde har intentionerne været gode nok. Jeg har bare undladt (eller måske ikke forstået at jeg skulle) at markere et navn inden jeg trykkede på Accept knappen. I andre tilfælde var der ikke kommet noget gyldigt svar og jeg havde efterladte dem åbne og dernæst glemt dem. Men når folk begynde at brokke sig over udeblivende respons allerede indenfor 24 timer efter spørgsmålets oprettelse så synes jeg de har lige at tage og slappe lidt af. Der findes faktisk mennesker som har et liv ved siden af computer skærmen med job, familie osv at passe. Og så kunne det også være at lige netop fordi det er computeren man har problemer med, kan det være svært at komme på nettet??!

Nåh det var så det trivielle - lad mig nu komme til sagen og så kunne jeg måske samtidigt bøde for mine synder ved at gøre forumets læsere en lille tjeneste. Den var nemlig en meget styk virus og to døgns sved, forskning og alle mulige kreative forsøg var ikke nok til at dræbe den. Jeg endte med at smitte endnu en maskin pga en USB stik, og har måttet formatere og genistallere begge, men jeg fik reddet mine data, og er nu virus fri. Min advarsel er således: vær på vagt for den W32/PerwallA.worm virus. Får du den alligevel, så fjern alle tilkoblede drev og geninstallere, eller måske hvis du har en, lav en ny installation på en ekstra disk. Installer en fuldt opdateret virus program og så, en efter en, kan du tilkoble dine ekstra drev på, starte op I FEJLSIKRET TILSTAND og køre en virus scan. De tilkoblede drev bliver smittet på en enkel måde, ved at der lægges to små korrupte filer - autorun.inf og MS-Dos.com på drevets rod. Og disse filer gøres - på en eller anden måde - super usynlige så de ikke kan ses i Stifinderen selv om du har konfigueret stifinderen til at vise alt. Denne autorun.inf må ikke få lov at køre, så derfor brug Fejlsikret tilstand. Filerne kan dog afsløres fra en kommand prompt ved at du står i drevets rod og indtaste DIR /ASHR. For at slette dem hvis virus programmet ikke har gjort det, skal du indtaste DEL /AH /f autorun.inf og DEL /AH /f MS-Dos.Com. Hvis du prøver DEL kommandoen i Windows normal tilstand ville filerne blive genoprettet indenfor 1 sekund og du vil igen smitte dit system drev.

En anden måske mere sikker og mindre besværlig metode kan tages i brug hvis du har Partition Magic. Med Partition Magic kan du skjule dine tilkoblede drev (men ikke USB stik o.l.). Efter de er skjult vil de ikke kunne ses hverken af Windows eller fra en kommando prompt, og derfor hellere ikke af Perwall ormen. Men Partition Magic har en browser som alligevel kan se de drev den har skjult, og den browser vil afsløre, og give dig mulighed for at slette, autorun.inf os MS-Dos.Com på de tilkoblede drev, uden at ormen får mulighed for at genoprette dem. Så efter du har formateret og geninstalleret, og geninstalleret Partition Magic, kan du trygt gøre dine drev synlige igen. Du vil stædigt blive nødt til at bruge Fejlsikret tilstand for at slette Autorun.inf og MS-Dos.Com på dine USB stik. Jeg har tilmed en online drev (Humyo.com) og filerne Autorun.inf og MS-Dos.Com fandtes også der men den fungerer heldigvis på anden måde end en fysiske tilkoblet drev, så den kunne ikke smitte tilbage igen og det var en nem sag bare at slette dem der.

Jeg fik ikke afprøvet om jeg kunne tage mit system drev ud og koble den på en anden maskin som slave for dernæst at køre en virus scanning på den. Jeg tror ikke den vil virke fordi MS-Dos.Com ændrer nogle nøgler i reg. databasen som indstiller computeren til at opsøge spyware på nogle internet adresser. Og hvis drevet var koblet på som slave, så formoder jeg at reg. db ville behandles som en hvilken som helst tekstbaseret fil og ikke som reg. db. Men som sagt, har jeg ikke afprøvet det.

Jeg bliver ikke knækket af lidt frækhed, går også ud fra I heller ikke bliver det. Tværtimod tager jeg jeres bemærkninger til efterretning, så nu må jeg pænt lukke spørgsmålet ned, sige pæn tak for jeres tålmodighed og forhåbentligt på gensyn. Er vi så nu tilfreds?

http://www.eksperten.dk/list.phtml?sort=&order=DESC&status_1=on&status_2=on&spm_creator=collin&spm_part=&spm_answer=&find=&engine=exp