---

Jeg har lånt en computer hvor jeg er i gang med at fjerne virus. Jeg har prøvet forskellige scannere som alle finder virus, men de gør ikke noget ved dem. De virus jeg døjer med er: Backdoor.win32.wootboot.gen og worm.win32.padobot.m og worm.win32.sasser.d
Her er en log jeg gerne vil have tjekket for hvad der skal fjernes:

Logfile of HijackThis v1.98.2
Scan saved at 17:57:11, on 27-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\videosd32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\mark\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\mark\LOKALE~1\Temp\kavss.exe
C:\Documents and Settings\mark\Skrivebord\Hijack this\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

---

scan for virus via en onlinescan www.spywarefri.dk

---

er_du_klog, prøv at kigge på de nederste linier i loggen så kan du nok se, at der er brugt to forskellige onlineskannere

---

vibber1310, du kan prøve at kigge ind til www.arlet.dk hvor der er en mailadresse til Arlet der sikkert godt vil hjælpe dig. Prøv at skrive til ham og læg et link til loggen.

---

hhm - Det havde jeg faktisk set! men kunne være der var andre!

---

Download stinger her http://vil.nai.com/vil/stinger/
Den skulle snuppe det meste! Windows skal osse opdateres med sp1 ell. sp2 og der skal installeres diverse sikkerhedspatches fra windows update! Hvis Avast kan skanne i fejlsikker så burde den osse kunne fjerne dem!
Du skal osse huske at disable systemrestore via Start > Kontrolpanel > system > systemgendannelse før du bruger stinger!

---

Hej alle.
Jeg har installeret Avast virusprogram. Desuden har jeg scannet med Panda onlinescanner, Housecall onlinescanner og Kasperskys engangsscanner.
Jeg vil prøve det I har foreslået, men jeg ved at Arlet har meget travlt i øjeblikket og næppe har tid til at tjekke min log.

---

Nu har jeg prøvet Stinger uden held.
Avast blev sat til at scanne før den kom i windows - uden held.
Hvad gør jeg så???
Er der kun formatering tilbage?
Er der ikke noget at se i loggen?

---

videosd32.exe er snavs
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_WOOTBOT.O&VSect=T

Tøm temp mappen: C:\DOCUME~1\mark\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\mark\LOKALE~1\Temp\kavss.exe

List løse bud

---

Jeg spekulerer på om din PC er opdateret for noget tyder på, at den ikke er.
Denne bulletin har ifølge Trend Microsystems relation til padobot
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

---

Bjarne! 27-10-04 19:22 du har ret! Du kan forøvrigt se det platform i hijackthis loggen!

---

under platform mente jeg! Der vil stå sp1 eller sp2 hvis den var opdateret med disse patches

---

Jeg ved det Tedd, men lige nu sidder jeg med min W2K og kan ikke sammenligne og har heller ikke versionsnumrene i hovedet. (SP2 er nu ikke et must)
Jeg kan nu ikke forstå, at hverken onlineskanninger eller Stinger skulle tage det der, men der skal nok bare gåes systematisk til værks som du har været inde på.

---

Computeren er renset med hjælp fra spywarefris forum. Men tak for jeres bud.
Jeg kunne dog ikke opdatere windows, da den ikke ville fuldfører download.
Men har det nogen betydning hvis den normalt ikke kommer på nettet?

---

Der ligger jo ingen sikkerhedsrisiko hvis maskinen ikke skal på nettet, men det er jo altid rart at vide, at en maskine er opdateret. Jeg er da lidt mere bekymret for hvad der kunne være årsagen til den kiksede download.

Dette spørgsmål er blevet annulleret, det er derfor ikke muligt for at tilføje flere kommentarer.