andrebare Skrevet 24. juli 2004 Del Skrevet 24. juli 2004 (endret) Hatt en forferdelig dag i dag, saa det er mulig jeg bruker de "slemme" smiliesene flere ganger enn vanlig. Har slitt med at svchost.exe og svcroot.exe stjeler veldig mye cpu den siste tiden, og jeg tenkte jeg skulle gjoere noe med det. Soekte litt om mitt lille problem. Jeg syntes plutselig at mitt ellers saa stabile bredbaand gikk litt treigt, saa jeg gikk i gode gamle dos og skrev: netstat. Data fosset nedover skjermen, og det viste seg at jeg sendte og mottok mer enn jeg egentlig var klar over. "Pss", tenkte jeg, "jeg har da norton, adaware og spycleaner oppdatert flere ganger i uken..." Men neida, norton(ja, med liten bokstav..) var disablet. Liveupdate var umulig. "Faar gjoere det manuelt da", tenkte jeg. Men umulig aa komme seg inn paa nortons hjemmesider. Etter hundreogni forskjellige forsoek saa gav jeg imidlertidig opp. Jeg la det litt pa is, siden jeg fikk besoek av familie og venner. Men i dag var plutselig all data fra hardisken borte(!). Alt av arbeid(jajaja, husk backup.. jeg vet), hobby og alt er borte. Jeg installerte linux i sinne, men det ble ikke godt mottatt av min bedre halvdel. Hun ville ha windows. Saa tenkte jeg:"Ja, kanskje det. Alt er jo formatert og ut av verden naa..." Jeg formaterte en gang til, bare for aa vaere paa den sikre siden, og reinstet windowsxp. Skulle akkurat til aa kjoere windows update da det plutselig popper opp en beskjed paa skjermen: Message from MICROSOFT NETWORKS to WINDOWS USER on 7/24/2004 1:27:29 AM Microsoft Security Bulletin MS03-043 Buffer overrun in Messenger Service Could Allow Code Execution (828035) Affected Software: Microsoft Windows NT Workstation Microsoft Windows NT Server 4.0 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Win98 Microsoft Windows Server 2003 Non Afected Software: Microsoft Windows Millennium Edition Your system is affected, download the patch from the address below ! FIRST TYPE IN THE ADDRESS BELOW INTO YOUR INTERNET BROWSER, THEN CLICK 'OK'. THE ADDRESS WILL DISAPPEAR ONCE YOU HIT 'OK'. www.windowspatch.org - Maa visstnok reboote 60 sek.. skjriver mer om noen minutter.. virus jeg skjoenner #topic er endret av moderator jankee "Trenger seriøst Hjelp...." er ingen god tittel på tråden. Tittelen skal beskrive problemet # Endret 25. juli 2004 av Jankee Lenke til kommentar
andrebare Skrevet 24. juli 2004 Forfatter Del Skrevet 24. juli 2004 For en tidsklemme. Som dere sikkert skjoenner, saa er ikke dette spywares og snille ting. Dette er onskapen selv. Noen som har noe lurt aa komme med? Dette har jeg proevd: ALT.. - proevd aa komme meg inn paa alle verdens live antivirusprogram nettsted uten hell - oppdatere windowsupdate uten hell - mange hundre "loesninger" fra plasser paa nettet uten hell Haaper det er en eller annen snill og hjelpsom sjel eller to der ute. Paa forhaand takk. PS Hvis dere lurer paa hvorfor jeg ikke har ae, oe og aa, saa er det kun fordi jeg ikke gidder aa skifte itilfelle viruset faar seg et anfall igjen og formaterer hdn min PSPS Min hd ligger naa paa f: om noen skulle lure This system is plutselig shutting down. Please blablabla Lenke til kommentar
wil Skrevet 24. juli 2004 Del Skrevet 24. juli 2004 hei du. hadde du tatt backup sa du? hvis ja så er dette bra. det ser ut som at du har et seriøst problem med maskina di. det må være et virus som surrer på maskina di. fikk du til å installere Linux? hvis ja, så må du nesten bare leve med Linux intil videre. ellers ville jeg prøvd å formatere XP en gang til å se hva som skjer da. hvis ikke dette går så, kan du prøve å kjøpe deg en ny disk å sette den disken du har nå som slave, og den ny disken som master. Norton har jeg funnet ut fjerner ikke alle virus som finnes på maskinen din. prøv et annet virusprogram. NOD32 har jeg hørt er ganske bra. kan prøves i 30 dager. eller bruker jeg selv Trendmicro PC-Cillin 2004 Internet Security. dette er etter min mening det beste antivirusprogrammet som finnes. fjerner det den skal og fjerner også spyware, skal gjøre. de andre som holder på med maskina di. hva gjør de? surfer de på nett, spiller di, skriver de dokumenter. hvis de gjør alt dette bortsett fra spilling så er Linux ypperlig for du/dere. du kan surfe like bra i Linux som du gjør i Windows. og Linux har en gratis office pakke som heter Open Office. Lykke til uannsett. Lenke til kommentar
andrebare Skrevet 25. juli 2004 Forfatter Del Skrevet 25. juli 2004 (endret) Hyggelig at noen tar seg tid til aa skrive tilbake her. - Logfile of HijackThis v1.98.0 Scan saved at 2:17:20 AM, on 7/25/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Program Files\Norton AntiVirus\SAVScan.exe F:\WINDOWS\System32\svcroot.exe F:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe F:\WINDOWS\System32\wmmon32.exe F:\Program Files\NetLimiter\NetLimiter.exe F:\Program Files\MSN Messenger\MsnMsgr.Exe F:\WINDOWS\System32\RUNDLL32.EXE F:\WINDOWS\System32\devldr32.exe F:\Program Files\Messenger\msmsgs.exe F:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE F:\WINDOWS\System32\svchost.exe F:\Documents and Settings\andre\Desktop\hijackthis\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [svcroot] svcroot.exe O4 - HKLM\..\Run: [Cryptographic Service] F:\WINDOWS\System32\bfaugxja.exe O4 - HKLM\..\Run: [WSSAConfiguration] wmmon32.exe O4 - HKLM\..\Run: [NetLimiter] F:\Program Files\NetLimiter\NetLimiter.exe /s O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "F:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] F:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\RunServices: [svcroot] svcroot.exe O4 - HKLM\..\RunServices: [WSSAConfiguration] wmmon32.exe O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE - Naa nei, gir meg ikke saa lett. Noen som har forslag til hva jeg kan fjerne evt. fikse..? Har fjernet endel virus manuelt, men de kommer og gaar, har inntrykk av. Hvorfor Norton? Jeg har betalt lisens paa det, og forventer egentlig at det skal fungere. Men 'noe' paa hardisken min lukker og disabler alt som jeg skal bruke, som feks: - hijackthis - mirc (vet dette ikke er noedvendig, men dog) - norton (pluss hjemmesidene deres) Faar ikke til aa connecte meg til norton's hjemmsider for aa oppdatere manuelt. Har lastet ned netlimiter som viser en oversikt over hva jeg sender og mottar. Det jeg ikke liker er at explorer.exe, svcroot.exe og svchost.exe proever hele tiden (saa lenge internettforbindelsen er oppe) aa sende 'ting' ut. Netstat i cmd viser: Proto Local Address Foreign Address State TCP andrepc:1026 p508AD074.dip0.t-ipconnect.de:3127 SYN_SENT TCP andrepc:1028 yhvm0-.cm.chello.no:2745 SYN_SENT TCP andrepc:1029 mza3qw.cm.chello.no:epmap TIME_WAIT TCP andrepc:1029 yhvm0-.cm.chello.no:epmap SYN_SENT TCP andrepc:1030 mza3qw.cm.chello.no:1025 ESTABLISHED TCP andrepc:1031 yhvm0-.cm.chello.no:1025 SYN_SENT TCP andrepc:1032 yhvm0-.cm.chello.no:microsoft-ds SYN_SENT TCP andrepc:1033 yhvm0-.cm.chello.no:3127 SYN_SENT TCP andrepc:1035 yhvm0-.cm.chello.no:6129 SYN_SENT TCP andrepc:1036 yhvm0-.cm.chello.no:netbios-ssn SYN_SENT TCP andrepc:1037 qqxye21.cm.chello.no:2745 SYN_SENT TCP andrepc:1038 qqxye21.cm.chello.no:epmap SYN_SENT TCP andrepc:1040 qqxye21.cm.chello.no:1025 SYN_SENT TCP andrepc:1041 qqxye21.cm.chello.no:microsoft-ds SYN_SENT TCP andrepc:1042 qqxye21.cm.chello.no:3127 SYN_SENT TCP andrepc:1044 19.Red-80-39-206.pooles.rima-tde.net:2745 SYN_S ENT TCP andrepc:1045 19.Red-80-39-206.pooles.rima-tde.net:epmap SYN_ SENT TCP andrepc:1046 19.Red-80-39-206.pooles.rima-tde.net:1025 SYN_S ENT TCP andrepc:1048 19.Red-80-39-206.pooles.rima-tde.net:microsoft-d s SYN_SENT TCP andrepc:1049 19.Red-80-39-206.pooles.rima-tde.net:3127 SYN_S ENT TCP andrepc:1050 19.Red-80-39-206.pooles.rima-tde.net:6129 SYN_S ENT TCP andrepc:1052 19.Red-80-39-206.pooles.rima-tde.net:netbios-ssn SYN_SENT TCP andrepc:1053 fia209-84-100.dsl.hccnet.nl:2745 SYN_SENT TCP andrepc:1054 s7r532.cm.chello.no:1025 ESTABLISHED TCP andrepc:1056 fia209-84-100.dsl.hccnet.nl:epmap SYN_SENT TCP andrepc:1057 77.131.93.142:microsoft-ds SYN_SENT TCP andrepc:1058 43.140.142.13:microsoft-ds SYN_SENT TCP andrepc:1060 43.192.170.189:microsoft-ds SYN_SENT TCP andrepc:1066 146.178.14.52:microsoft-ds SYN_SENT TCP andrepc:1067 tony01-13-12.inter.net.il:2745 SYN_SENT TCP andrepc:1082 tony01-13-12.inter.net.il:epmap SYN_SENT TCP andrepc:1083 tony01-13-12.inter.net.il:1025 SYN_SENT TCP andrepc:1084 tony01-13-12.inter.net.il:microsoft-ds SYN_SENT TCP andrepc:1087 tony01-13-12.inter.net.il:3127 SYN_SENT TCP andrepc:1088 dsl-200-95-3-37.prod-infinitum.com.mx:microsoft- ds ESTABLISHED TCP andrepc:1090 tony01-13-12.inter.net.il:6129 SYN_SENT TCP andrepc:1091 tony01-13-12.inter.net.il:netbios-ssn SYN_SENT TCP andrepc:1094 v0yimz.cm.chello.no:2745 SYN_SENT TCP andrepc:1096 S0106000c6e958866.ok.shawcable.net:microsoft-ds ESTABLISHED TCP andrepc:1098 v0yimz.cm.chello.no:epmap SYN_SENT TCP andrepc:1101 v0yimz.cm.chello.no:1025 SYN_SENT TCP andrepc:1103 v0yimz.cm.chello.no:microsoft-ds SYN_SENT TCP andrepc:1104 v0yimz.cm.chello.no:3127 SYN_SENT TCP andrepc:1105 v0yimz.cm.chello.no:6129 SYN_SENT TCP andrepc:1107 v0yimz.cm.chello.no:netbios-ssn SYN_SENT TCP andrepc:1108 fzvqho.cm.chello.no:microsoft-ds SYN_SENT TCP andrepc:kpop gw.ptr_80-238-187-86.customer.ch.netstream.com:2 745 SYN_SENT TCP andrepc:1111 108.247.159.220:microsoft-ds SYN_SENT TCP andrepc:1112 126.210.108.18:microsoft-ds SYN_SENT TCP andrepc:1113 lsanca1-ar59-4-8-001-062.lsanca1.dsl-verizon.net :microsoft-ds ESTABLISHED TCP andrepc:1115 44.171.181.234:microsoft-ds SYN_SENT TCP andrepc:1117 87.191.255.198:microsoft-ds SYN_SENT TCP andrepc:1118 97.69.202.90:microsoft-ds SYN_SENT TCP andrepc:1119 lillnas.dc.ltu.se:6667 ESTABLISHED TCP andrepc:1120 37.183.184.32:microsoft-ds SYN_SENT Jeg kjoerer ad-aware, spybot - search and destroy og spycleaner, med hell av og til. Haaper igjen noen der ute kan hjelpe meg, begynner snart aa gaa tom for ideer. (Fant et lite triks ang "This system is plutselig shutting down in 60 seconds"-problemet. Nemlig aa stille dato/klokken tilbake i tid) Endret 25. juli 2004 av andrebare Lenke til kommentar
jevel Skrevet 25. juli 2004 Del Skrevet 25. juli 2004 En ting du i allefall kan gjøre er å ta en reinstallering med formatering av disk. Pass på å ikke være tilkoblet internett når du kjører denne reinstallen. Deretter slår du på firewallen i Windows _før_ du kobler deg på nett. Det første du gjør etter å ha ftt nett er å kjøre Windowsupdate. Da skal det kunne gå med mindre det er noe alvorlig gæli en plass... -KJ Lenke til kommentar
andrebare Skrevet 25. juli 2004 Forfatter Del Skrevet 25. juli 2004 (endret) Foer jeg gjoer det, saa vil jeg proeve andre forslag. Er lei av aa formatere og faa de samme problemene. Har downloadet og instet alt av Windows update, uten hell. Men takk uansett. Endret 25. juli 2004 av andrebare Lenke til kommentar
jevel Skrevet 25. juli 2004 Del Skrevet 25. juli 2004 Tror nok det vil innbære mye mer arbeid å renske den maskina for virus enn det vil gjøre å bare reinstallere. Det ser ut som noen har plukket ut din IP og infiserer deg ved hjelp av en eller annen svakhet i systemet med en gang du kommer opp igjen. Gjør som du vil, men jeg ville ha sikret meg en utskrift av den TCP connections loggen og så reinstallert. -KJ Lenke til kommentar
andrebare Skrevet 25. juli 2004 Forfatter Del Skrevet 25. juli 2004 Hehe, kanskje. Men kanskje det er en eller annen der ute som leser dette, og som har en løsning på mitt lille problem. Hvem vet.. Lenke til kommentar
djises Skrevet 25. juli 2004 Del Skrevet 25. juli 2004 Hehe, kanskje. Men kanskje det er en eller annen der ute som leser dette, og som har en løsning på mitt lille problem. Hvem vet.. Ja, kansje flere en du tror. Keylog-Ramb This detection is for a keylogging trojan, designed to steal data from the victim machine. Info Du kan også prøve en online scan Lenke til kommentar
andrebare Skrevet 25. juli 2004 Forfatter Del Skrevet 25. juli 2004 (endret) Takk! Fant faktisk endel med den scanneren: worm.raleka.a dos.agobot.gen troy.raleka.a worm.korgo.a worm.agobot.ss Etter å ha fjernet disse, så disablet jeg nettverkskortet og fikk satt opp Sygate Firewall. Finally. Men Sygate krevde en reboot, og når jeg startet xp igjen så var svchost like hissig som før. Men nå har jeg i alle fall blokket den med Sygate firewall. Men hvordan fjerner jeg dette tullet? Får desverre ikke kjørt liveupdate med norton, og heller ikke besøkt sympatec's hjemmesider. Kanskje jeg burde vurdere et annet antivirusprogram? Etter en ny scan med Trend Micro scan Online så fant jeg: Dos.Agobot.gen windows\system32\drivers\etc\hosts. Og jeg som slettet den tidligere når jeg fant den. Men dette får jeg ikke fjernet: TCP andrepc:1440 lillnas.dc.ltu.se:6667 SYN_SENT Unnskyld meg, men brukes ikke port 6667 til irc? Jeg har ingen irc-klienter oppe. Disse sidene får jeg ikke kontakt med: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com Endret 25. juli 2004 av andrebare Lenke til kommentar
andrebare Skrevet 25. juli 2004 Forfatter Del Skrevet 25. juli 2004 (endret) Fant ut litt selv nå. Viruset heter FxGaobot og jeg fant heldigvis en fix. Men fikk ikke vekk alt, men nå får jeg i alle fall kjørt Norton update og det er nå mulig å besøke de sidene jeg tidligere ikke fikk 'besøke'. Håper det til slutt ordner seg! (Poster dette i tilfelle noen andre får det samme problemet en gang.) Endret 25. juli 2004 av andrebare Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå