Backdoor og NetSky 23-03-04 11:37 : BjarneD 23-03-04 11:39 : BjarneD 23-03-04 11:52 : dscoop80 23-03-04 11:54 : BjarneD 23-03-04 11:55 : BjarneD 23-03-04 13:36 : severino 23-03-04 16:59 : DJ_Puden 23-03-04 23:44 : martin.borre 23-03-04 23:51 : BjarneD 25-03-04 10:43 : martin.borre 25-03-04 10:45 : martin.borre 25-03-04 10:52 : BjarneD 17-04-04 14:23 : martin.borre 17-04-04 15:30 : BjarneD 17-04-04 15:32 : BjarneD 17-04-04 16:12 : BjarneD 17-04-04 20:00 : BjarneD 19-04-04 14:38 : martin.borre 19-04-04 18:27 : BjarneD 19-04-04 20:01 : BjarneD 19-04-04 20:02 : BjarneD 22-04-04 01:40 : martin.borre 22-04-04 11:16 : BjarneD 27-04-04 17:05 : martin.borre 27-04-04 17:54 : BjarneD 04-05-04 00:06 : martin.borre 04-05-04 00:16 : BjarneD 04-05-04 00:20 : BjarneD 21-05-04 17:02 : martin.borre

Backdoor og NetSky Fra : martin.borre Vist : 556 gange 100 point Dato : 23-03-04 11:31

Jeg har installeret et antivirus program der hedder AVG6 fra Grisoft. Den fandt med det samme en virus der hedder Trojan Horse Backdoor IRC Sdbot 17 og en der hedder NetSky. Så vidt jeg nåede at læse. For pludselig virkede antivirus programmet ikke længere, mens alt andet fungerer tilsyneladende normalt. Jeg har forsøgt at downloade et nyt antivirusprogram, men downloadningen afbrydes. Kan det være et virus der slukker for antivirusprogrammet og downloadningen? Og kan virussen være kommet ind med antivirusprogrammet? Jeg har prøvet at fjerne virusen ved at køre eksterne antivirus skannere der ikke skal downloades, men de slukker også før de er færdige. Er de nogen der har et bud på hvad det er og hvad man gør? Mvh MB

Kommentar Fra : BjarneD Dato : 23-03-04 11:37

Har du prøvet med en online scan? Virus kan sagtens gøre de ting du nævner for på den måde beskytter virus sig selv. http://www.pandasoftware.com/activescan/activescan.asp?Language=2&Country=63&Partner=1&Ref=EN-PR-AS-107 Hvis du ikke kan få adgang til nettet med den inficerede maskine kan du måske låne en anden til at hente Stinger, der er et lill eprogram der kan hjælpe: http://vil.nai.com/vil/stinger/

Kommentar Fra : BjarneD Dato : 23-03-04 11:39

AVG har også en Netsky fjerner: http://www.grisoft.com/softw/removers/rmnetsky_a2d.exe

Kommentar Fra : dscoop80 Dato : 23-03-04 11:52

Foreslår du bruger "AD-Aware"... Virkelig godt program til at finde sådanne ting på din computer!: http://download.com.com/redir?pid=10214379&merid=69274&mfgid=69274&edId=3&siteId=4&oId=3000-8022-10214379&ontId=8022<ype=dl_dlnow&lop=link&dlrs=1&destUrl=%2F3001-8022-10214379.html Mvh. Cooper

Accepteret svar Fra : BjarneD Modtaget 110 point Dato : 23-03-04 11:54

Hvis du får problemer med det kan du også skrive msconfig i Kør (Enter) Åbn Start og deaktiver alt undtaget det der hedder avgcc32 - Genstart og prøv at hente Stinger og kør den.

Kommentar Fra : BjarneD Dato : 23-03-04 11:55

Cooper>> siden hvornår har AdAware kunnet fjerne Netsky? Det lyder spændende.

Kommentar Fra : severino Dato : 23-03-04 13:36

Har du prøvet at bruge F-PROT som er en diskette udgave. Du starter simpelt hen op på de to disketter der indholder hele virus programmet. På den måde får du ikke aktiveret nogen af dine programmer på harddisken, men udelukkende bruger det du har på disketterne. Så kan du sikkert få bugt med det. Læs mere på http://www.avirus.dk og se lidt nærmere på F-PROT. Der er en god dansk forklaring derinde!

Kommentar Fra : DJ_Puden Dato : 23-03-04 16:59

Viker´det oz med Win XP? Er det ik kun FAT32 og ik NTFS?

Kommentar Fra : martin.borre Dato : 23-03-04 23:44

Jeg har kigget på F-PROT som imidlertid kun nævner ME, NT og 2000, men ikke XP som styresystemer den kan bruges på, kan det også bruges på XP? (som DJ_PUDEN også nævner).

Kommentar Fra : BjarneD Dato : 23-03-04 23:51

Hvorfor bruger du ikke bare det der er foreslået og som virker. Stinger fylder ca. 735 kb, så den er absolut flytbar.

Kommentar Fra : martin.borre Dato : 25-03-04 10:43

Tak, BjarneD, nu virker det igen. Stinger fandt nu ikke de virus som AVG havde sagt, men til gengæld fandt den noget andet, (Recycler). Der har åbenbart været ren fest derinde: det viste sig at den egentlige synder var en helt fjerde virus kaldet Lovsan. Virussen kunne selv lukke ned for msconfig, men det tog den et par sekunder om, nok til at jeg kunne nå at ændre ”et eller andet”. Ved genstart efter nogle forsøg var virusen inaktiveret og kunne fjernes med AVG .

Godkendelse af svar Fra : martin.borre Dato : 25-03-04 10:45

Tak for svaret BjarneD.

Kommentar Fra : BjarneD Dato : 25-03-04 10:52

Hvis du har gendannelse koblet til ( Windows XP og ME) vil virus sandsynligvis stadig være i gendanneslsesfilen og vil derfor dukke op igen. Hvis dette kan være problemet så skriv lige et indlæg her, så vil jeg guide dig.

Kommentar Fra : martin.borre Dato : 17-04-04 14:23

Jeg har et problem med en virus der har lagt sig i windows systemet som hverken AVG eller stinger vil fjerne, det skal tilsyneladende gøres manuelt. Men hvordan gør man det? Og er der henvisninger i en registreringsfil der også skal fjernes?

Kommentar Fra : BjarneD Dato : 17-04-04 15:30

Prøv, at skrive hvad den hedder og evt. hvilke instrukser så skal jeg guide dig. VH Bjarne

Kommentar Fra : BjarneD Dato : 17-04-04 15:32

Normal praksis når en aktiv vireus fil skal fjernes er at genstarte i fejlsikker tilstand fordi Windows udelader sekundære opstartsfiler. Skriv også lige hvilken type Windows du bruger så er det lettere, at guide.

Kommentar Fra : BjarneD Dato : 17-04-04 16:12

Du skal også have et evt. bogstav med i navnet på den aktive virus, f.eks. Netsky.C

Kommentar Fra : BjarneD Dato : 17-04-04 20:00

Det mest almindelige sted, at finde virus i registreringsdatabasen er her: Skriv regedit i START - Kør <OK> Følg denne streng: HKEY_CURRENT_USER+Software+Microsoft+Windows+CurrentVersion+Run Man åbner indholdet ved at klille på + Nøglerne i Run et opstartskommandoer og man kan slette en nøgle ved, at markere navnet og højreklikke hvorefter man vælger slet. Du må kun slette de nøgler der er angivet i virusbeskrivelsen.

Kommentar Fra : martin.borre Dato : 19-04-04 14:38

Det virus-programmet skriver er: Virus Identfied Worm/Agobot.12.BS The virus cannot be removed from the infected file by healing. The entire infecred object must be removed. Virusen ligger i G:\windows\system32\system.exe Mit styresystem er XP. Det LYDER lidt som om alt håb er ude og det hele skal omformatteres. Dette vil dog sandsynligvis medføre at jeg skal købe en ny XP, da den gamle var ejet af mit tidligere firma. Jeg har ikke været inde i registreringsdatabasen da jeg ikke har den virusbeskrivelse du omtaler, og derfor ikke ved hvilke nøgler jeg kan tillade mig at slette. Jeg får ikke oplysninger om denne version af virusen ud på nettet. MVH MB

Kommentar Fra : BjarneD Dato : 19-04-04 18:27

Hej Martin Fortvivl nu ikke helt. Jeg vil i løbet af aftenen kigge lidt på beskrivelser af den virus og så melder jeg tilbage. Jeg har ikke måtte opgive, at få has på en virus endnu så hvis du bare er frisk skal vi nok i fællesskab få styr på det uden formatering.

Kommentar Fra : BjarneD Dato : 19-04-04 20:01

Husk at skanne i fejlsikker tilstand med restore deaktiveret Deaktivering af gendannelse: For Windows XP Log på med administratorrettigheder. Højreklik på Denne Computer (Start) og vælg Egenskaber Klik på fanebladet Systemgendannelse Vælg Deaktiver systemgendannelse på alle drev. Klik OK. Fortsæt med scanning/renselses processen. Files i gendannelsesmappen kan nu slettes. Genetabler Systemgendannelse ved at fjerne markeringen fra før.(først når du er færdig med at rydde op) Du får først lige noget på engelsk og så kan du jo spørge ud fra det. Identifying the Malware Program To remove this malware, first identify the malware program. Scan your system with your antivirus product. NOTE all files detected as WORM_AGOBOT.BS.(skriv navnene ned på de filer der er identificeret som virus) Restarting in Safe Mode (genstart i fejlsikker tilstand) On Windows XP Restart your computer. Press the F8 key when prompted. If Windows XP Professional starts without the “Press select operating system to start” menu, restart your computer. Press F8 after the Power-On Self Test (POST) is done. Choose the Safe Mode option from the Windows Advanced Options Menu then press Enter. Removing Autostart Entries from the Registry Removing autostart entries from the registry prevents the malware from executing during startup. To remove the malware autostart entries: Samme som jeg skrev længere oppe og du kan evt. prøve at gå til Start - Kør og skrive msconfig <Enter> vælg Start* noter alle de nøgler der står der og send dem til mig så vil jeg kunne fortælle hvilke der kan slettes i registreringsdatabasen. Open Registry Editor. To do this, click Start>Run, type Regedit, then press Enter. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows> CurrentVersion>Run In the right panel, locate and delete the entry: System Loader = "syscfg.exe" In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows> CurrentVersion>RunServices In the right panel, locate and delete the entry: System Loader = "syscfg.exe" In the left panel, double-click the following: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services In the right panel, locate and delete the entry: a3 Close Registry Editor.

Kommentar Fra : BjarneD Dato : 19-04-04 20:02

Når du er færdig skal du opdatere på Microsoft windows update

Kommentar Fra : martin.borre Dato : 22-04-04 01:40

Jeg kunne godt deaktivere Restore-funktionen, og få den startet op i safe mode. Det er for øvrigt XP Professional og ikke bare XP jeg bruger som styresystem. Jeg har gjort nedenstående, efter Start>(regedit): In the left panel, double-click the following: >HKEY_LOCAL_MACHINE>Software>Microsoft> Windows> CurrentVersion>Run In the right panel, locate and delete the entry: System Loader = "syscfg.exe" Når jeg gør det kommer der 20 entries, jeg kan ikke identificere nogen af dem med System Loader = "syscfg.exe ” In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows> CurrentVersion>RunServices In the right panel, locate and delete the entry: System Loader = "syscfg.exe" Der kommer 4 items ud, men der var ingen items der hed noget med System Loader = "syscfg.exe" In the left panel, double-click the following: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services In the right panel, locate and delete the entry: a3 Der er kun een ting i denne folder, den hedder Default, men altså ingen a3 Når jeg klikker HKEY_CURRENT_USER+Software+Microsoft+Windows+CurrentVersion+Run Der vises fire items. kaldet [Default], DTFMON.EXE, MSMSGS og NvMediaCenter. Den anden og den fjerde ligger i System32. Skal nogen af disse slettes? Den sidste har tilføjelsen RUNDLL32.EXE under data. Og tilsidst, når jeg går ind i Start>(msconfig)>Startup er der føgende 25 startup Items: Hpi_Monitor, InCD, Mixer, hpztsb04, lwbwheel, hpppta, NvCpl, nwiz, SM1BG, services, system, 94675844,17057436, winlogOn, 5303591,84136599, 1061648, 77845400, spoolsvc, avgcc32, cftmon, msmsgs, NVMCTRAY, Microsoft office og palnetaware. Alle de items hvis navn kun består af et tal, samt dem der hedder NVMCTRAY og ctfmon, ligger i System32. Kan du se hvilke der skal slettes? Og hvis man sletter Autostartup-nøglen, skal selve virusen så ikke slettes? MVH MB

Kommentar Fra : BjarneD Dato : 22-04-04 11:16

Du er ved at have fat i det rigtige. Grunden til, at du ikke finder det Trend beskriver er , at virus er en anden variant. Det man alternativt foreslår er, at du skal notere de navne ned som virus finder og dels lede efter dem i registreringsdatabasen dels, at slette dem på placeringen. Alle dem der bare hedder tal er noget der ikke skal være der ligesom: hpztsb4, SM1BG, services, winlogOn, system. De øvrige mener jeg er legitime. Nogle af nøglerne ligner noget ægte, men det er netop for at snyde, men din PC vil kunne køre problemfrit hvis du slettede alle nøglerne, dog ville du mangle nogle funktioner til AVG og InCD (din formatering til on acces brænding) som du bør afinstallere hvis du ikke bruger den (InCD) da den er tung at slæbe rundt på. Du skal finde filerne der hører til nøglerne og slette dem hvis antivirus ikke har gjort det. Alle de nøgler du finder i MSCONFIG ligger enten i registreringsdatabasen HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run eller i Programmer-Start. Prøv at få AVG til at skanne i Fejlsikker tilstand (F8) og se om den vil nappe noget af det. Eller Stinger i fejlsikker. Du kan deaktivere alle mistænkelige filer i MSCONFIG og så snere tage dem i registreringsnøglen når du føler dig sikke rpå, at du ikke mangler dem. AVG er en glimrende AV skanner, men jeg vil anbefale dig at købe en hvor du kan få ordentlig opdatering og god dansk support hvilket du kan med Norman der kan købes af TDC kunder i Telebutikkerne eller her: http://www.spywarefri.dk/virusscannere.htm#Norman Jeg håber du giver mig en tilbagemelding og jeg skal nok blive ved med at hjælpe til du har fået renset din PC. VH Bjarne

Kommentar Fra : martin.borre Dato : 27-04-04 17:05

Nu er virusen endelig væk. Det der skulle til var åbenbart at deaktivere nogle af nøglerne i msconfig og derpå køre antivirusprogrammet i safemode, og med restorefunktionen ude, som du foreslog. Imidlertid: så vidt jeg kan se ligger filerne ikke i ..windows/system32-folderen sådan som opstartsnøglerne i msconfig ellers siger. Er de skjult eller er det bare msconfig der viser noget forkert? Og hvordan fjerner jeg henvisningerne, for når jeg går ind i registreringsdatabasen er de der heller ikke. MVH MB

Kommentar Fra : BjarneD Dato : 27-04-04 17:54

Prøv Kontrolpanel - Mappeindstillinger - Vis - Marker Vis skjulte mapper og filer. Jeg ved jo ikke om det hjælper, men så kan du i hvert fald se det der er skjult. VH Bjarne

Kommentar Fra : martin.borre Dato : 04-05-04 00:06

Hej Bjarne, SSom sagt har jeg deaktiveret diverse start-nøgler i i msconfig, men jeg kan ikke finde de filer de henviser til. Eksempelvis står der ud for en nøgle: Startup item 1061648 Command G/windows/system32/1061648.exe Location SOFTWARE/Microsoft/windows/current version/run ...men filen ligger ikke der hvor den står angivet i command, og startnøglen ligger ikke hvor den skuule ifølge Command. Startnøglen starter ikke med HKCU eller HKLM, hvilket vel betyder at de ikke ligger som aktiverede nøgler. Men hvordan fjernes de helt fra startup-listen? Og hvordan fjernes originalfilerne? Mvh Martin

Kommentar Fra : BjarneD Dato : 04-05-04 00:16

Du kan forsøge en søgning i registreringsdatabasen. Åbn regdb. Vælg i menuen rediger/Søg skriv 1061648.exe klik find næste Nu skal man jo så være opmærksom på hvad det er man finder, men et så unikt navn skulle ikke være et problem. nøglen kan slettes. Startkommandoer kan også findes i ini filerne, men det kan vi tage senere hvis det bliver nødvendigt. Grunden til at du ikke kan finde selve filen er formentlig, at virusscanneren har fjernet den.

Kommentar Fra : BjarneD Dato : 04-05-04 00:20

Du kunne også lige kigge i Start - Programmer - Start Hvis en af de grimme filer ligger den kan den umiddelbart slettes med højreklik da det kun er en genvej.

Kommentar Fra : martin.borre Dato : 21-05-04 17:02

Hej Bjarne, jeg har vist ikke fået meldt tilbage at jeg har fundet (og slettet) de omtalte filer og alt virker nu som det skal, tak for hjælpen... Martin

Du har følgende muligheder

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål. Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.