/ Forside/ Teknologi / Internet / Sikkerhed / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Ekspert søges til ukendt virus !!
Fra : srhansen
Vist : 779 gange
200 point
Dato : 07-05-04 23:09

Så har jeg brug for hjælp igen

Jeg har fået virus i min computer og symptomerne er:

- Den deaktiverer Norton Antivirus (som er helt opdateret)
- Norton Antivirus og online scannere ser den ikke.
- Den forsøger at skabe adgang til min computer (uden held)
Citat
Access denied attempting to launch a DCOM Server using DefaultLaunchPermssion. The server is:
{00020906-0000-0000-C000-000000000046}
The user is ANONYMOUS LOGON/NT AUTHORITY, SID=S-1-5-7.


- Inden mine MS-sikkerhedsopdateringer lukkede den min computer ned med lsass-fejl (som er kendetegnet for tidens virus)
- Computeren hænger efter længere tids stilstand (skrivebordstapet men ingen iconer og taskbar)


Ting jeg har gjort:

- Jeg troede først det var systemfejl for der var intet at finde på nettet det første lange tid jeg havde fejlen så derfor
har jig slettet hele harddisken og derefter formateret disken for derefter at genindlæse WinXP (men jeg har flere diske så den har selvfølgelig gemt sig der)

- Installeret samtlige WinXP-sikkerhedsopdateringerne.
- Dagligt opdateret virusscanneren, men den ser intet.
- Kørt værktøjer til fjernelse af virus: Fixblast, fixsasser, stinger og fixgaobot. Men intet er fundet.
- Skilt computer fuldstændigt ad og støvsuget alle kort samt checket alle blæsere kører, installeret ny blæser renset kontaktflader og sikret mig cpu og grafikkort sidder som det skal.
- cheket harddiske med scandisk.
- Kørt opdateret spybot, men den finder heller ingen ting.
- Kørt hijackthis, men loggen afslører, for mig, intet usædvanligt.

Jeg håber derfor nogle kvikke hoveder kender svaret på mine kvaler. Hijackloggen følger herefter:

Citat
Logfile of HijackThis v1.95.0
Scan saved at 23:01:31, on 07-05-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\RAMASST.exe
D:\Program Files\SysShield Tools\Internet Eraser\cseraser.exe
D:\Program Files\SpamPal\spampal.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mmc.exe
G:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.jp.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SysShield IE Popup Blocker - {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} - d:\Program Files\SysShield Tools\Internet Eraser\PKExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: AbsoluteShield Internet Eraser.lnk = D:\Program Files\SysShield Tools\Internet Eraser\cseraser.exe
O4 - Startup: SpamPal.lnk = D:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Download All by FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: AbsoluteShield Internet Eraser (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Jeg ser netop at "C:\WINDOWS\system32\lsass.exe" kører, den har da vist ikke noget at gøre der ?

mvh srhansen

 
 
Kommentar
Fra : Eyvind


Dato : 07-05-04 23:23

The GRC DCOMbobulator
Taming Windows' Dangerous DCOM / RPC System
Har du kørt sådan en.
http://grc.com/dcom/
Emesen.



Kommentar
Fra : tedd


Dato : 07-05-04 23:29
Kommentar
Fra : srhansen


Dato : 07-05-04 23:30

Hej Emesen

Den side du henviser til er vel ikke en bogus/trojan ? Nej jeg har fuld tillid til dig jeg prøver lige.



Kommentar
Fra : Eyvind


Dato : 07-05-04 23:32

Det håber jeg da ikke, jeg bruger den selv.

Accepteret svar
Fra : Eyvind

Modtaget 210 point
Dato : 07-05-04 23:35
Kommentar
Fra : tedd


Dato : 07-05-04 23:36
Kommentar
Fra : BjarneD


Dato : 07-05-04 23:37

Den er helt OK, men hvad med at køre en Stinger?
http://vil.nai.com/vil/stinger/

Kommentar
Fra : tedd


Dato : 07-05-04 23:37

Den der SAVScan.exe er en virus, som beskrevet før i mit første link!


Kommentar
Fra : tedd


Dato : 07-05-04 23:38

Og så mangler du mindst 3 sikkerheds patches fra windows update!


Kommentar
Fra : srhansen


Dato : 07-05-04 23:45

Hej igen

Emesen
Jeg kørte GRC DCOMbobulator og den fandt ud af at min DCOM kørte, men at min port 135 var stealth, sikkert NAT i min router.
Jeg brugte derefter programmet til at lukke min DCOM ned, hvorefter den svarede: "port 135 åben, men DCOM svarer ikke" , så nu er DCOM lukket

Tedd
Jeg har søgt på Tmei32.exe i min computer, men den fandt intet, så jeg tror ikke det er den.

BjarneD
Jeg har prøvet Stinger, men uden held desværre

mvh srhansen

Kommentar
Fra : BjarneD


Dato : 07-05-04 23:48

Tedd>>SavScan er en Norton fil, fandt den lige i en renset log på Spywarefri http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=2349

Kommentar
Fra : srhansen


Dato : 07-05-04 23:50

Hej igen Tedd

Jeg forstod af den side du henviste til at virusen disablede SAVscan.exe (som er min Nortonscanner) ikke at SAVscan.exe filen indeholder virusen.

Opdateringer:
Q815021_WXP_SP2_x86_ENU.exe
WindowsXP-KB823980-x86-ENU.exe
WindowsXP-KB835732-x86-ENU.EXE
Og så mener jeg at jeg har installeret en mere (men er ikke sikker), hvilke mener du jeg mangler ?

mvh srhansen

Kommentar
Fra : tedd


Dato : 07-05-04 23:58

Ja du har ret, jeg er lige vågnet fra en lur og læser ikke så godt engelsk åbenbart!

Kommentar
Fra : srhansen


Dato : 08-05-04 00:01

og nu også
Q810833_WXP_SP2_x86_ENU.exe

tak for det

Kommentar
Fra : tedd


Dato : 08-05-04 00:01

men det skader hvertfald ikke at lave en online virusscanning

Kommentar
Fra : srhansen


Dato : 08-05-04 00:03

Haha, ja men du havde ret i jeg manglede en opdatering

Jeg vil også trække mig for i aften. Det er en tid med mange konfirmationer så jeg trænger til at lade op. Tak for i aften

Kommentar
Fra : BjarneD


Dato : 08-05-04 00:05

prøvede du forresten Stinger i fejlsikret?

Kommentar
Fra : CLAN


Dato : 08-05-04 06:43

Hejsa
Det ser jo ud til I har styr på det, men scan evt. din computer via http://www.virus112.dk/
Hygge... og held og lykke med problemet
Søren

Kommentar
Fra : srhansen


Dato : 11-05-04 09:46

Hej igen

BjarneD
Ja jeg har nu prøvet en stinger i fejlsikret tilstand, desværre fandt den heller ikke noget.

CLAN
Jeg ser at scanneren kræver at man registrerer sig med en masse personlige oplysninger. Det har jeg så dårlige erfaringer med, at jeg tror jeg springer denne over Jeg har iøvrigt prøvet to andre onlinescannere, men de fandt heller ingen ting.

Computeren "hænger" nu ikke så ofte efter jeg fulgte Emesen's anvisninger vedr. DCOM

Virusen ligger der stadig. Det ved jeg for når jeg selv nedlukker computeren efter kortere tids brug så starter den op med NAV-autoprotect, men hvis jeg lader computeren stå tændt f.eks. natten over, så enten "hænger" den eller jeg kan lukke den ned normalt. Ved opstart vil NAV-autoprotect da være disablet

mvh srhansen


Godkendelse af svar
Fra : srhansen


Dato : 31-08-06 22:30

Tak for svaret alle sammen. Det er desværre et stykke tid siden jeg har været her sidst.

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste