---

Gode ideer savnes til fjernelse af en sasser....

Kan ikke lægge en hjackthis før i morgen.... (det er ikke min egen).....

Ved den bliver "registreret" i gendannelseskonsollen (og tilsyneladende ikke andre steder) men sletning af alle punkter fjerner den ikke.....

Ved også at den tilsyneladende har været der længe....

Maskinen kører egentlig godt nok men popper op med denne meddelse om en fundet virus i tide og utide.... (AVS)

Noget der kan forberedes i mellemtiden (div. download) så jeg har dem når maskinen kommer - den må nemlig helst ikke komme på nettet, men har tilsyneladende været det for længe siden...

---

Dette værktøj burde nakke den http://www.symantec.com/security_response/writeup.jsp?docid=2004-050114-1706-99

---

Takker - henter jeg straks.....

Jeg har lagt en anden maskinlog på dit board (denne skulle egentlig også have været der )

Gider du kigge på den.....

---

Done

---

refi -> Hva' 'lawer' du?

Common knowledge:

52. Sasser Worm
1. Klik start og klik kør
2. Skriv i feltet : shutdown -a (hvis du ikke kan komme til at trykke på start, kan du i stedet trykke: Windowstasten + R)

så genstarter den ikke mere

luk først port 135 med Dcom http://grc.com/files/DCOMbob.exe
Kør det, tryk på fanebladet "DCOMbobulate me" tryk på "Disable DCOM" og genstart
læs mere om dcom her : http://www.spywarefri.dk/tipsogtricks.htm#DCom

"DCOM" er dog ikke nødvendig, hvis man har sørget for at køre Windows Updates, da de også lukker hullet/porten. Det skader dog ikke under alle omstændigheder at køre den.

Deaktiver så Systemgendannelse, hvis du har WindowsXP (Start -> Kontrolpanel -> System -> Fanebladet Systemgendannelse -> Sæt flueben i Deaktiver systemgendannelse. (og husk at aktivere den igen når du er helt færdig med at fjerne Blaster.)


Microsoft har lavet et tool til at fjerne Sasser, men det kræver at følgende patch/update er installeret: KB835732 Kan downloades her:
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=3549ea9e-da3f-43b9-a4f1-af243b6168f3

Du kan bruge nedenstående removal-tool for at søge og fjerne Sasser ormen på din harddisk.

Vigtigt! For at bruge dette tool, skal du køre Windows XP eller Windows 2000, og sikkerhedsbulletin MS04-11 skal være installeret. = KB835732

Download toolet direkte fra Microsoft.com Download Center her

Fuld vejledning her:
http://www.microsoft.com/security/incident/sasser_printxp.asp

Yderlige info her: http://www.microsoft.com/technet/Security/alerts/sasser.mspx

Kilde: http://www.hcma.dk/ (..også kandu.dk bruger )

</MOLOKYLE>

---

Ps. Omtalte bruger; HCMA ..var tidligere kendt som Catbody: http://www.kandu.dk/userprofile.aspx?uid=5317

..men 'glemte' sit password

</MOLOKYLE>

---

Pænt af dig "molo" - men tro mig - alle "normale" kanaler er afprøvet (pr. korrespondance).....

Nu ville jeg liiige have maskinen i hånden inden jeg gik videre - for de hjalp ikke....

---

Det er en medicinstuderendes notebook der pga. specielle programmer ikke må komme på nettet.
(den kan ikke tåle opdateringerne-så virker programmerne ikke længere), men den har tilsyneladende alligevel været på et eller andet sted for lang tid siden....

Og så ved du måske - kvinder og veninder....

Bare spørg min mand - han klarer alt det der

Så hænger man sgu på den

Hvorom alting er kommer den til huse i formiddag.....

Hendes stationære fik en tur i aftes og gik i coma.... så noget har sgu pillet....

---

Hvis ikke de 'kendte' metoder virker? Så er mit foreslag:

Tag backup af vigtige filer og programmer (..programmerne må være MEGET gamle, hvis ikke de 'tåler' opdateringer fra MS og kan derfor sikkert bare kopieres over), men HUSK at skanne/rense dem FØR du brænder dem ned ...ellers er du lige vidt! Er der ikke en brænder på maskinen? Så må du tilslutte en extern brænder via USB eller lægge dem ud på nettet et sted.

Slet så ALT på maskinen og lav en nyinstallation. Derefter smider du filerne tilbage.

For at være sikker på at der ikke bliver 'snavs' sidden i maskinen bør du ikke nøjes med at formatere harddisken før en geninstallatin af XP, men lav en decideret WIPE som fjerner selv bootsektor- og partitionopsætning. Dette kan du gøre med dette udmærkede program:

http://dban.sourceforge.net/ (..som jeg selv måtte bruge, da jeg sad med en genstridig bærbar !)

Jeg har svært ved at se der er andet at gøre

</MOLOKYLE>

---

Så langt er slet ikke kommet endnu.....

Nu prøves lige om sasser kan fjernes med "normale" værktøjer......

Men det der med at give folk gode råd over telefon er jo ligesom her på kandu.....

Det er IKKE altid de gør som de bliver bedt om - og så virker det ikke

---

..ellers må du spørge Klumme. Brugeren som er ved at brække sig over, at nogen besidder teknisk viden og nedlader sig til at prøve at hjælpe andre.

Han har sikkert et godt råd og en brugbar løsning ...selvom det nu stadig mangler at blive bevist

</MOLOKYLE>

---

Så kom jeg lidt længere.....

Det viser sig at maskinen faktisk er på nettet HVER DAG, men kun på sygehusets

Den ryger så åbenbart med hjem og kommer på der også - selvom det er forbudt....

Nå videre...

FxSasser fandt INTET

En dybdescan med AVS fandt

Scan My Computer
----------------
Scanned:   105164
Detected:   19
Untreated:   0
Start time:   12-08-2007 09:09:21
Duration:   00:41:38
Finish time:   12-08-2007 09:50:59


Detected
--------
Status   Object
------   ------
deleted: riskware not-a-virus:PSWTool.Win32.PassView.162   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg
deleted: riskware not-a-virus:Client-IRC.Win32.mIRC.603   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg/l4m3r.exe
deleted: riskware not-a-virus:NetTool.Win32.Sniffer.c   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg/lam2.exe
deleted: riskware not-a-virus:RiskTool.Win32.HideWindows   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg/lam3.exe/PE_Patch.PECompact/PecBundle/PECompact
deleted: riskware not-a-virus:RiskTool.Win32.HideWindows   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg/lam4.exe/UPX
deleted: riskware not-a-virus:PSWTool.Win32.PassView.162   File: C:\Documents and Settings\LocalService\Lokale indstillinger\Temporary Internet Files\Content.IE5\RMV7ULDV\dfe8c48c35[1].jpeg/lam5.exe/UPX
deleted: Trojan program Trojan.Win32.StartPage.aoi   File: C:\Documents and Settings\Regina Eichhorst\Lokale indstillinger\Temporary Internet Files\Content.IE5\0DXLL321\hp[1].exe/PE_Patch
deleted: virus Net-Worm.Win32.Agent.f   File: C:\WINDOWS\system32\a.exe
deleted: riskware not-a-virus:Client-IRC.Win32.mIRC.603   File: C:\WINDOWS\system32\fffssf.exe/l4m3r.exe
deleted: riskware not-a-virus:NetTool.Win32.Sniffer.c   File: C:\WINDOWS\system32\fffssf.exe/lam2.exe
deleted: riskware not-a-virus:RiskTool.Win32.HideWindows   File: C:\WINDOWS\system32\fffssf.exe/lam3.exe/PE_Patch.PECompact/PecBundle/PECompact
deleted: riskware not-a-virus:RiskTool.Win32.HideWindows   File: C:\WINDOWS\system32\fffssf.exe/lam4.exe/UPX
deleted: riskware not-a-virus:PSWTool.Win32.PassView.162   File: C:\WINDOWS\system32\fffssf.exe/lam5.exe/UPX
deleted: virus Net-Worm.Win32.Agent.f   File: C:\WINDOWS\system32\config\systemprofile\Lokale indstillinger\Temporary Internet Files\Content.IE5\0DXLL321\edcv[1].jpeg
deleted: virus Net-Worm.Win32.Agent.f   File: C:\WINDOWS\system32\config\systemprofile\Lokale indstillinger\Temporary Internet Files\Content.IE5\0DXLL321\edcv[4].jpeg
deleted: virus Net-Worm.Win32.Agent.f   File: C:\WINDOWS\system32\config\systemprofile\Lokale indstillinger\Temporary Internet Files\Content.IE5\0DXLL321\edcv[5].jpeg
deleted: virus Net-Worm.Win32.Agent.f   File: C:\WINDOWS\system32\config\systemprofile\Lokale indstillinger\Temporary Internet Files\Content.IE5\0DXLL321\edcv[6].jpeg
deleted: Trojan program Trojan.Win32.StartPage.aoi   File: C:\WINDOWS\system32\config\systemprofile\Lokale indstillinger\Temporary Internet Files\Content.IE5\SNNLX8WF\hp[1].exe/PE_Patch
deleted: riskware not-a-virus:PSWTool.Win32.PassView.162   File: C:\WINDOWS\system32\fffssf.exe


Events
------
Time   Name   Status   Reason
----   ----   ------   ------
12-08-2007 09:09:21   Running module: smss.exe\smss.exe   ok   iChecker
12-08-2007 09:09:21   File: C:\WINDOWS\System32\smss.exe   ok   iSwift
12-08-2007 09:09:21   Running module: smss.exe\ntdll.dll   ok   iChecker
12-08-2007 09:09:21   File: C:\WINDOWS\System32\ntdll.dll   ok   iSwift
12-08-2007 09:09:21   Running module: csrss.exe\csrss.exe   ok   iChecker
12-08-2007 09:09:21   File: C:\WINDOWS\system32\csrss.exe   ok   iSwift
12-08-2007 09:09:21   Running module: csrss.exe\ntdll.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\ntdll.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\CSRSRV.dll   ok   scanned
12-08-2007 09:09:22   File: C:\WINDOWS\system32\CSRSRV.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\basesrv.dll   ok   scanned
12-08-2007 09:09:22   File: C:\WINDOWS\system32\basesrv.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\winsrv.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\winsrv.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\USER32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\USER32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\KERNEL32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\KERNEL32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\GDI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\GDI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\ADVAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\ADVAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\RPCRT4.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\RPCRT4.dll   ok   iSwift
12-08-2007 09:09:22   Running module: csrss.exe\sxs.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\sxs.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\winlogon.exe   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\winlogon.exe   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\ntdll.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\ntdll.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\kernel32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\kernel32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msvcrt.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\msvcrt.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\ADVAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\ADVAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\RPCRT4.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\RPCRT4.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\GDI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\GDI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\USER32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\USER32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\USERENV.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\USERENV.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\NDdeApi.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\NDdeApi.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\CRYPT32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\CRYPT32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\MSASN1.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\MSASN1.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\Secur32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\Secur32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WINSTA.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WINSTA.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\PROFMAP.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\PROFMAP.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\NETAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\NETAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\REGAPI.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\REGAPI.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WS2_32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WS2_32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WS2HELP.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WS2HELP.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\AUTHZ.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\AUTHZ.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\PSAPI.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\PSAPI.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\VERSION.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\VERSION.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\SETUPAPI.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\SETUPAPI.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\MSGINA.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\MSGINA.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\SHELL32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\SHELL32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\SHLWAPI.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\SHLWAPI.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\COMCTL32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\COMCTL32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\ODBC32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\ODBC32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\comdlg32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\comdlg32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\comctl32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\odbcint.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\odbcint.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\SHSVCS.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\SHSVCS.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\sfc.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\sfc.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\sfc_os.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\sfc_os.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WINTRUST.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\WINTRUST.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\ole32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\ole32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\IMAGEHLP.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\IMAGEHLP.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WINSCARD.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\WINSCARD.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WTSAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\WTSAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\sxs.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\sxs.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\uxtheme.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\uxtheme.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WINMM.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\WINMM.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\serwvdrv.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\serwvdrv.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\umdmxfrm.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\umdmxfrm.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\cscdll.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\cscdll.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\klogon.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\klogon.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\OLEAUT32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\OLEAUT32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WlNotify.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WlNotify.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WINSPOOL.DRV   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\WINSPOOL.DRV   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\MPR.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\MPR.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\rsaenh.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\rsaenh.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\asycfilt.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\asycfilt.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\SAMLIB.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\SAMLIB.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\cscui.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\cscui.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\NTMARTA.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\NTMARTA.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\WLDAP32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WLDAP32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msv1_0.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\msv1_0.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\wdmaud.drv   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\wdmaud.drv   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msacm32.drv   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msacm32.drv   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\MSACM32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\MSACM32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\midimap.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\midimap.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\imaadp32.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\imaadp32.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msadp32.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msadp32.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msg711.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msg711.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msgsm32.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msgsm32.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\tssoft32.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\tssoft32.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\tsd32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\tsd32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msg723.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msg723.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\msaud32.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\msaud32.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\sl_anet.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\sl_anet.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\l3codeca.acm   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\l3codeca.acm   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\COMRes.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\COMRes.dll   ok   iSwift
12-08-2007 09:09:22   Running module: winlogon.exe\CLBCATQ.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\CLBCATQ.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\services.exe   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\services.exe   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\ntdll.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\ntdll.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\kernel32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\kernel32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\msvcrt.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\msvcrt.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\ADVAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\ADVAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\RPCRT4.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\RPCRT4.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\USER32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\USER32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\GDI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\GDI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\USERENV.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\USERENV.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\SCESRV.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\SCESRV.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\AUTHZ.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\AUTHZ.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\umpnpmgr.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\umpnpmgr.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\WINSTA.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WINSTA.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\NCObjAPI.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\NCObjAPI.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\secur32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\secur32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\eventlog.dll   ok   scanned
12-08-2007 09:09:22   File: C:\WINDOWS\system32\eventlog.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\WS2_32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WS2_32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\WS2HELP.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\WS2HELP.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\PSAPI.DLL   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\PSAPI.DLL   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\wtsapi32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\wtsapi32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: services.exe\netapi32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\netapi32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\lsass.exe   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\lsass.exe   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\ntdll.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\System32\ntdll.dll   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\kernel32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\kernel32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\ADVAPI32.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\ADVAPI32.dll   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\RPCRT4.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\RPCRT4.dll   ok   iSwift
12-08-2007 09:09:22   Running module: lsass.exe\LSASRV.dll   ok   iChecker
12-08-2007 09:09:22   File: C:\WINDOWS\system32\LSASRV.dll   ok   iSwift
12-08-2007 09:09:23   Running module: lsass.exe\msvcrt.dll   ok   iChecker
12-08-2007 09:09:23   File: C:\WINDOWS\system32\msvcrt.dll   ok   iSwift
12-08-2007 09:09:23   Running module: lsass.exe\Secur32.dll   ok   iChecker
12-08-2007 09:09:23   File: C:\WINDOWS\system32\Secur32.dll   ok   iSwift


Statistics
----------
Object   Scanned   Detected   Untreated   Deleted   Moved to Quarantine   Archived   Compressed   Password protected   Corrupted
------   -------   --------   ---------   -------   -------------------   --------   ----------   ------------------   ---------
Total   105164   17   17   0   0   2355   497   0   7
System Memory   2130   0   0   0   0   0   0   0   0
Startup Objects   1830   0   0   0   0   0   0   0   0
System Restore   1   0   0   0   0   0   0   0   0
Mailboxes   425   0   0   0   0   181   0   0   0
All Hard Drives   100778   17   17   0   0   2174   497   0   7
All Removable Drives   0   0   0   0   0   0   0   0   0


Settings
--------
Name   Value
----   -----
Security Level   Recommended
Action   Prompt for action when the scan is complete
File types   All
Scan new and changed files only   No
Scan archives   All
Scan embedded OLE objects   All
Skip if object is greater than   No
Skip if scan takes longer than   No
Parse e-mail formats   No
Scan password-protected archives   No
Enable iChecker technology   Yes
Enable iSwift technology   Yes
Show detected threats on "Detected" tab   Yes


En ny efter sletning fandt INTET

Her en hjacklog

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:59:23, on 12-08-2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\hkcmd.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\QuickTime\qttask.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
C:\Programmer\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\dllcache\winsony.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tvinfo.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programmer\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKLM\..\Run: [aol] "C:\tools\Active Virus Shield\avp.exe"
O4 - HKLM\..\RunServices: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cordless DUALphone opstart.lnk = C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
O4 - Global Startup: Kalender.lnk = ?
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O23 - Service: Active Virus Shield (AVP) - AOL - C:\tools\Active Virus Shield\avp.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmer\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

--
End of file - 5151 bytes


Tør jeg håbe den er REN

---

Man kan altid håbe, men vent til vores ekspert har godkendt den, jeg prøver at opøve evner til at gennemskue HJT logs, og i denne er der er et par linjer som jeg synes er mistænkelige, venter spændt på hvad stl_s kan se i loggen, du har alleredekørt Norton scanner/removal, men det skader ikke at køre flere forskellige, Stinger fra MacAfee er et gammelkendt special værktøj, den nyeste Avert Stinger skulle kunne spore og fjene Sasser orme

---

Glemte helt et smide et link http://vil.nai.com/vil/stinger/

---

Har tidligere prøvet forskellige, men da det var pr. telefon er det jo ikke sikkert de er kørt rigtigt...

Så nu ser vi lige hvad "experten" siger....

---

Jeg har forstået dig sådan, at du nu har patienten i hånden, er det korrekt

---

Lad høre....

---

Ja - den er midlertidig udskrevet

---

Nu bliver det sgu pinlig refi, at bede mig udstille mine fattige evner til offentlig spot og spe, nå ok den her kan jeg ikke lide: O4 - HKLM\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe den anden vil jeg ikke afsløre og blive total til grin, det er vistnok noget Work calender halløj
Stl_s skynd dig at komme, før refi får mig til at blotlægge alt om mine ringe evner

---

Bare rolig - jeg er også på lidt bar bund og retter intet pga. "mistanke"

Den kan jeg heller ikke lige gennemskue....

Ligeledes yahoo toolbar (hvorfor fanden kan de ikke holde fingrene væk)

Problemet er som sagt at "folk" "låner" dem med hjem - det må de ikke....
En af dem har sågar oprettet egne biblioteker kan jeg se

Disse maskiner var oprindeligt beregnet til de lægestuderende der bl.a. kunne "læse" de cd/dvd hjertescanneren laver....

Bliver de opdateret kan de ikke længere læse dem (det er en laaaang historie)
Derfor må de ikke fjernes, men bliver det tilsyneladende....

Nu frygter jeg at jeg pludselig står med alle 20 der har fejl....

---

er alle 20 "lånt" med hjem og inficeret med dit og dat, så får du nok at se til jeg kender det godt, hvis jeg hjælper en ven/veninde og det rygtes, så vælter opgaverene ind

---

Yahoo toolbaren er ikke værre end Google´s ditto, og nogen vil af en eller anden grund gerne have en sådan værktøjslinje, den bør du ikke fjerne før ejeren/brugeren har givet lov

---

Det sgu mig

---

Du skal have fat i en cd med et værktøj der hedder Windows XP. Den skal du bare installere, så vil det løse problemet.

---

---

Nej, den er ikke ren. Der er nogle bots, der skal væk. AVS burde have nuppet dem, men den er måske mere eller mindre blevet slået ihjel af dem.

Hent og dobbeltklik denne fil. Den pakker sig ud til C:\SDFix:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Genstart i fejlsikret, hvis du ikke ved hvordan så kig her (Scroll ned til "Sådan får du adgang til fejlsikret tilstand") http://kimludvigsen.dk/tips-windows-fejlsikret.html


Gå så ind i mappen SDFix på C drevet. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

---

Er i sving - den skal lige over på den anden maskine....

Undskyld der gik ligt smalltalk i det

---

Den viser bare curser og intet billede.... (F8)

Så der er ikke noget at vælge

Andre forslag ????

---

o.v.n. lige en til "lærebogen" her

O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe

Der er ikke så meget Sony i den http://www.castlecops.com/o23list-2885.html

Giver en hacker fuld adgang

---

Fejlsikret lykkedes...

---

Og hvad siger loggen ?

---

SDFix: Version 1.97

Run by Administrator on 12-08-2007 at 14:56

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Sony Network Analysis Tool

ImagePath:
"C:\WINDOWS\System32\dllcache\winsony.exe"

Sony Network Analysis Tool - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\AD.EXE - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\TW.EXE - Deleted
C:\WINDOWS\system32\dllcache\winsony.exe - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\WINDOWS\system32\aoaor\systemac.dll
C:\WINDOWS\system32\jjfht\systemac.dll
C:\WINDOWS\system32\jjjfkkd\systemac.dll
C:\WINDOWS\system32\lljges\systemac.dll
C:\Programmer\F‘lles filer\Adobe\ESD\DLMCleanup.exe
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL0118.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL0129.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL0718.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL1255.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL1547.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL1895.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL1933.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL2578.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL2888.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL3190.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL3250.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL3306.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL3687.tmp
C:\Documents and Settings\Regina Eichhorst\Application Data\Microsoft\Word\~WRL3853.tmp
C:\WINDOWS\LastGood.Tmp\INF\oem0.inf
C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem1.inf
C:\WINDOWS\LastGood.Tmp\INF\oem1.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem10.inf
C:\WINDOWS\LastGood.Tmp\INF\oem10.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem12.inf
C:\WINDOWS\LastGood.Tmp\INF\oem12.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem13.inf
C:\WINDOWS\LastGood.Tmp\INF\oem13.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem14.inf
C:\WINDOWS\LastGood.Tmp\INF\oem14.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem15.inf
C:\WINDOWS\LastGood.Tmp\INF\oem15.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem16.inf
C:\WINDOWS\LastGood.Tmp\INF\oem16.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem17.inf
C:\WINDOWS\LastGood.Tmp\INF\oem17.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem18.inf
C:\WINDOWS\LastGood.Tmp\INF\oem18.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem19.inf
C:\WINDOWS\LastGood.Tmp\INF\oem19.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem2.inf
C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem20.inf
C:\WINDOWS\LastGood.Tmp\INF\oem20.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem22.inf
C:\WINDOWS\LastGood.Tmp\INF\oem22.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem23.inf
C:\WINDOWS\LastGood.Tmp\INF\oem23.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem24.inf
C:\WINDOWS\LastGood.Tmp\INF\oem24.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem3.inf
C:\WINDOWS\LastGood.Tmp\INF\oem3.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem4.inf
C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem5.inf
C:\WINDOWS\LastGood.Tmp\INF\oem5.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem7.inf
C:\WINDOWS\LastGood.Tmp\INF\oem7.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem8.inf
C:\WINDOWS\LastGood.Tmp\INF\oem8.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem9.inf
C:\WINDOWS\LastGood.Tmp\INF\oem9.PNF

Finished

---

SDFix fik nakket den falske "Sony", men der er mere.

Hent OldTimers`s OTMoveit ned til skrivebordet her http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Kør OTMoveit.exe ved at dobbeltklikke på den

Kopier nedenstående linier ind i vinduet til venstre, "Paste List of Files/Folders to be Moved".

C:\WINDOWS\system32\aoaor
C:\WINDOWS\system32\jjfht
C:\WINDOWS\system32\jjjfkkd
C:\WINDOWS\system32\lljges


Klik så på den røde knap MoveIt!

Hvis programmet beder dig genstarte PC`en, så klikker du Yes.

Efter at proceduren er gennemført, kopier da venligst resultatet i det højre vindue "Results", her ind.

Alternativt så åbn mappen C:\_OTMoveIt, åbn mappen MovedFiles og find txt filen i den, og kopier den ind i stedet for.

-----------------------------------------------------------------
Kør en onlinescanning her http://www.bitdefender.com/scan8/ie.html

Kom med en frisk HijackThis log, efter en genstart.

---

Jeg syntes ikke, at AVS har gjort sit job særligt godt her .

Prøv lige at tjekke, om det skulle være blevet deaktiveret af trojanerne.

---

Folder move failed. c:\windows\system32\aoaor\u scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\aoaor\ournik scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\aoaor\nm scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\aoaor\ksomk scheduled to be moved on reboot.
c:\windows\system32\aoaor moved successfully.
Folder move failed. c:\windows\system32\jjfht\u scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjfht\ournik scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjfht\nm scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjfht\ksomk scheduled to be moved on reboot.
c:\windows\system32\jjfht moved successfully.
Folder move failed. c:\windows\system32\jjjfkkd\u scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjjfkkd\ournik scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjjfkkd\nm scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\jjjfkkd\ksomk scheduled to be moved on reboot.
c:\windows\system32\jjjfkkd moved successfully.
Folder move failed. c:\windows\system32\lljges\u scheduled to be moved on reboot.
c:\windows\system32\lljges\sounds moved successfully.
Folder move failed. c:\windows\system32\lljges\poiyu scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\lljges\ournik scheduled to be moved on reboot.
Folder move failed. c:\windows\system32\lljges\nm scheduled to be moved on reboot.
c:\windows\system32\lljges\logs moved successfully.
Folder move failed. c:\windows\system32\lljges\ksomk scheduled to be moved on reboot.
c:\windows\system32\lljges\download moved successfully.
c:\windows\system32\lljges moved successfully.

Created on 08-12-2007 15:30:52

Onlinescan GÅR IKKE


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:30, on 12-08-2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\QuickTime\qttask.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tvinfo.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programmer\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [aol] "C:\tools\Active Virus Shield\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cordless DUALphone opstart.lnk = C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
O4 - Global Startup: Kalender.lnk = ?
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O23 - Service: Active Virus Shield (AVP) - AOL - C:\tools\Active Virus Shield\avp.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmer\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4888 bytes

---

Nej AVS er ikke slået fra......

Den viser ALT OK (vér alle steder..)

---

Men senesta scan for 3 timer siden fandt 219 fejl som dog alle er rettet....

---

Ok, så prøv dette:

Brug OTMoveIT igen. Denne gang hedder linien:

C:\WINDOWS\System32\colwindos.exe

Jeg vil godt se loggen fr OTMoveIT og en hijackthis efter genstart.

---

Du er krævende

---

Det er jeg nemlig

---

File/Folder c:\windows\system32\colwindos.exe not found.

Created on 08-12-2007 15:56:49


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:06:06, on 12-08-2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\Programmer\QuickTime\qttask.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\wkcalrem.exe
C:\tools\Active Virus Shield\avp.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmer\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\HJTrenamed.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tvinfo.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VOBID] C:\Programmer\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programmer\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmer\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [aol] "C:\tools\Active Virus Shield\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cordless DUALphone opstart.lnk = C:\Programmer\Cordless USB Phone\Cordless DUALphone Suite.exe
O4 - Global Startup: Kalender.lnk = ?
O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = ?
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O23 - Service: Active Virus Shield (AVP) - AOL - C:\tools\Active Virus Shield\avp.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programmer\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4921 bytes

---

Nu bliver jeg endnu mere krævende . Den fil er i loggen, men den KAN være væk alligevel. For en sikkerheds skyld syntes jeg, at du skulle prøve at søge efter den manuelt:

For at kunne se alle filer og mapper, gør du dette http://www.spywareinfo.dk/#/tip-og-tricks/mappeindstillinger.htm

Og derefter:

1. Klik på "Start" - Vælg "Søg".

2. Klik på linket "Skift indstillinger".

3. Klik på "Skift søgefunktioner for filer og mapper"

4. Sæt prik i "Avanceret" og klik OK.

5. Klik på "Alle filer og mapper"

6. Klik på "Flere avancerede indstillinger"
Sæt flueben i de tre øverste.

Søg på filen, og meld tilbage hvor den er, hvis den er der.

---

Tak for hjælpen stl_s jeg følger med og suger viden til mig

---

Det var colwindos.exe du mente - ikke......

Den er der ikke

---

Og den HAR søgt på ALT - systemfiler - skjulte osv....

---

Manuel kig i system32 viser den heller ikke.....

---

Prøvede også søgning UDEN exe - stadig ingen fil.....

---

Ok, så gør lige dette:

Kør HijackThis, og maksimer vinduet. Luk alle andre vinduer. Sæt et flueben ved denne linie, og klik FIX CHECKED:

O4 - HKCU\..\Run: [Wind0ws Ser7ice Agent] colwindos.exe

Tjek at linien er væk efter en genstart, og slut så af med trin 5 og 6 her http://www.malwarecheck.dk/forum/viewtopic.php?t=11

Hvis den maskine skal på nettet, så skal den nok opdateres. De vira kommer ind igennem sårbarheder i Windows.

---

Linien forsvandt

Ja - det er det der er mit store problem - maskinerne MÅ ikke komme på nettet andet end på sygehuset....

Der har aldrig tidligere været problemer da der er helt andre begrænsninger i deres servere....

Så de skal nok fast med kæde til bordene så "folk" ikke slæber dem med hjem....

---

Den er jo opdateret i antivirus - det bliver den hver dag.....

Det er programopdateringer osv. fra MS den ikke kan tåle......

---

Jeg er selv hospitalsansat, så jeg kender godt de brugerbegrænsninger . Der findes dog maskiner med flere rettigheder, og de er allesammen forpestede .

Det skulle være ok nu.

---

Håber ikke du har ret

Der har som sagt ikke været problemer FØR de begyndte at slæbe dem hjem....
Jeg har tidligere haft et spørgsmål ang. problemet da opdateringer bevirker de ikke længere kan læse cderne fra scannerne...

Tror egentlig de gør det i en god mening (lære hjemme) men da de så samtidig bruger dem til andet - går det galt....

Vi kan IKKE få scannerfirmaet til at ændre deres software og det fungerer i forvejen ikke for godt på XP - de afspillere der bliver lagt på cderne kører ad hå til på XP - de er lavet til 98.....

---

Kan jeg slette alle de værktøjer og logfiler samt de biblioteker der er blevet oprettet her under rensningen....

---

Jeps, slet bare alle mapper og værkøjer.

---

Tak for svaret stl_s.

Snupper lige en kaffe og en "lille en" - så kan du jo se hvor meget mere du "gider" på den anden....

Du er Dagens Mand

---

Takker

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.