10. maj 2003 - 11:46Der er
86 kommentarer og 2 løsninger
W2K: "Dialog box demo" ?
Efter geninst. af W2K + opdatering fra MS, har jeg nu fået en "Dialog box demo", og når maskinen skal lukkes ned, hænger systemet pga. denne "Dialog box demo".
Jeg kørt en spybot på maskinen, uden at dét havde noget at sige. Housecall køre ca. 30%, så kommer der en medl. om at forbindelsen til serveren er forsvundet, har forsøgt flere gange.
Det utrolige er, at jeg kun har nyeste CloneCD, Cdex 1.5b7, Office 2000 (kun Word), WinAmp 2.8, ICQ 2002a, en ældre ZoneAlarm og så fuld opdatering fra MS, og aldrig før har der været problemer med disse programmer, som iøvrigt (på nære nyeste MS update) også ligger i den ghostfil som jeg tidligere omtalte, og som har virket 100%. Mystikken breder sig....!
En ting er sikkert, det er træls ikke at kunne lukke sin PC ned, uden at der popper den der boks op med "Dialog box demo", som skal lukkes 2 gange før jeg kan lukke ned/genstarte.
Dialog box memo kan jeg huske at jeg har været med i en debat om for lang tid siden (eller læste jeg bare indlæget???)Det har nok været i et af de udenlandske fora. Det har i hvert fald ikke noget med virus og spyware at gøre. Prøv alligevel at gøre som fromsej siger deaktivere messenger, det sker der ikke noget ved.
Jeg mener det har noget at gøre med enten CloneCD eller Cdex 1.5b7. Jeg har søgt som en djævel efter det indlæg som jeg engang har set noget om denne dialog box memo, og så vidt jeg husker fik jeg også tilføjet et indlæg (eller gjorde jeg??), men jeg kan ikke finde det, så nu efter en halv times søgen opgiver jeg.
Mit råd er: Prøv lige at deaktivere CloneCD/Cdex 1.5b7 og se så lige efter om den stadig er der. Jeg mener ikke det har noget med Microsoft at gøre.
fromsej >> Det ved jeg skam godt, hvilket er grunden til at jeg tidligere i dette spørgsmål har givet en link, hvorfra han kan downloade msconfig. Faktisk det samme link som du har givet. *GG*
Det kunne være efterladenskaber fra et program (shareware, demoprogrammer eller freeware måske) som du har haft installeret og hvor du ikke har fået fjernet alt. (Dialog box demo!!! Jo det kunne være den slags) Prøv at downloade Regcleaner og se om der ligger efterladenskaber fra gamle afinstallerede programmer som du så kan fjerne med Regcleaner. Her er Urlen http://www.vtoy.fi/jv16/shtml/regcleaner.shtml
Jeg har lige fået det samme problem i W2K. Jeg kan fx ikke køre min FirstClass client og nogle nye programmer vil ikke installere pga. dette underlige problem!
Jeg har prøvet at fjerne alt hvad der bliver kørt i opstarten med msconfig, men det hjælper ikke. Jeg vil nu prøve med regcleaner for at se om det skulle være bedre...
Herfra ikke den store succes, jeg oplever også at internetforbindelse til tider føles langsommere end normalt, f.eks. skriver den ofte "Opretter forbindelse til webstedet", selv om det blot er google.com den skal ind på, andre gange får jeg java fejl på siderne.....
Ja, jeg kan godt se problemet, men lige nu er jeg altså tom for idéer. Det der irriterer mig mest er at jeg ikke kan finde noget som helst på nettet om problemet. Men jeg kæmper videre.
Det kan godt være at løsningen måske er en total formation, men det er et meget suspekt problem, aldrig har Windows 2000 kørt så dårligt som det gør nu, og det selv om der er et minimum af programmer inst.
Så må vi altså ha' fat i HijackThis. Du skal downloade programmet herfra http://www.spywarefri.dk/vaerktoj.htm#18.04.2003. og derefter scanne pc'en og til sidst skal du kopiere din log herind på siden så kan vi finde ud af hvad du skal slette (eller fixe som HijackThis kalder det). Men du skal lige læse om programmet først på den Url jeg har givet dig og så skal du følge den danske vejledning. Er hjemme igen ved 21-tiden. HijackThis bruges meget til sådanne problemer i de større udenlandske fora og det er da også begyndt at komme lidt med herhjemme.
Jeg ved godt det ikke er mig der har postet problemet, men det er nøjagtig det samme jeg døjer med, og her er min log-fil fra HijackThis:
Logfile of HijackThis v1.94.0 Scan saved at 19:45:11, on 14-05-2003 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
puha... jeg tor skam ikke jeg har fjernet den endnu efter at have læst lidt på den side du lige sendte... Nu er jeg igang med den helt store opperation...
Det er efterhånden ikke så underligt at min computer har opført sig lidt underligt nogle gange!
Tilbage igen. Den der mobsync.exe ville jeg fixe hvis jeg var dig. Du kan læse mere om den her
Microsoft Mobile Synchronization Manager. One annoying programme you will find running in W2K/XP is mobsync.exe. This is because it is set by default to synchronise your home page at log-on. To stop this, run the programme "Synchronise" from your "Start/Programmes/Accessories Menu. Select setup, and uncheck the synchronisation options, then deselect the option to synchronise your home page. From explorer select Tools/Folder Options/Offline Files: deselect the "Enable Offline Files" option. When you reboot you will find the programme is no longer running by default. You can also remove optional components from your Windows 2000 installation that are not shown in the Add/Remove Programmes applet.
brinkoman; Du har nu ikke flere dårlige, resten er ok. Når du bruger HijackThis og skal fixe poster, så husk lige at lukke alle de programmer ned som du kan før du fixer. Bagefter skal du genstarte puteren, og herefter ville jeg foretage en onlinescanneing for spyware enten med en fast scanner eller onlinescanneren på Spywarefri.dk Det er jo sådan at HijackThis slet ikke viser dataminers f.eks. Kom lige med en tilbagemelding når du har gjort disse ting og fortæl om Dialog box memo stadig er der.
Nu har jeg undersøgt log-filen som sysclean smidder ud, og det var spændende læsning.
Jeg kan se at programmet har succes med at fjerne virusen i alle inficerede filer, bortset fra én, nemlig Internet Explorer... hvad fanden skal jeg gøre ved det?
Det link til symantec som jeg gav dig er et værktøj som skulle kunne fjerne hele den orm/trojan, men nu har du jo "næsten" fjernet den. På den anden side vil der nok ikke ske noget ved at køre det.
F-Prot kører som sagt i dos og her er hele windows-systemet jo slet ikke åbnet, derfor vil F-Prot sansynligvis kunne snuppe de sidste rester af virussen. Det ville jeg prøve. Programmet fylder bare 2 disketter, men virker lidt gammeldags og er ikke så hurtigt, men effektivt. Jeg ville starte med F-Prot.
Det var det der symantec-program som klarede det, og nu er alle problemer væk, inklusive vores dejlige meddelelse omkring en dialog box demo og mit problem med at installere mit kamera!
Mange tak for hjælpen, det var en hård omgang
Jeg vil med glæde give jer et læs point, bare sig hvor mange, så opretter jeg lige et spm...
Logfile of HijackThis v1.93.0 Scan saved at 23:48:46, on 14-05-2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Vender tilbage iaften, da jeg skal på job nu. Men kan lige se at O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon kan du roligt fixe. Har du prøvet en onlinescanning hos Spywarefri for spyware/trojaner på deres nye hurtigscanner. Ellers kør lige en scanning. Tager få sek. Men som sagt: Vender tilbage iaften.
Fy for den lede...trojaner!! Jeg får ikke denne besked : "Hello. I’m NetSnake?"
Men hvordan dælen er internat.exe havnet på min maskine, jeg passer så meget på hvad jeg ligger ind ?!
Kan Netsnake scanneren køres online, synes ikke lige jeg kan finde noget sted hvor der står noget om det.
Logfilen til Fixlgate ser således ud :
The process "WinHelp.exe" is viral. It is terminated.
The process "IEXPLORE.EXE" is viral. It is terminated.
The process "winrpc.exe" is viral. It is terminated.
Viral thread 0000033C was terminated.
Viral thread 00000310 was terminated.
Viral thread 0000030C was terminated.
Viral thread 00000348 was terminated.
Viral thread 00000660 was terminated.
Viral thread 00000640 was terminated.
Viral thread 0000070C was terminated.
Viral thread 00000584 was terminated.
Viral thread 0000058C was terminated.
Viral thread 000006D8 was terminated.
Service "ll_reg" was deleted.
Service "Microsoft NetWork FireWall Services" was deleted.
Service "NetMeeting Remote Desktop (RPC) Sharing" was deleted.
Service "Windows Management Instrumentation Driver Extension" was deleted.
Deleted the value "WinGate initialize" from the registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\".
Deleted the value "winhelp" from the registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
Deleted the value "Remote Procedure Call Locator" from the registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
Deleted the value "Program In Windows" from the registry key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".
The default value of the registry key "Software\Classes\txtfile\shell\open\command" is set to "notepad.exe %1".
The value "run" of the registry key "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows" is set to "".
The tool has deleted the viral file "C:\WINNT\system32\NetServices.exe".
The tool has deleted the viral file "C:\WINNT\system32\WinDriver.exe".
The tool has deleted the viral file "C:\WINNT\system32\WinHelp.exe".
The tool has deleted the viral file "C:\WINNT\system32\winrpc.exe".
The tool has deleted the viral file "C:\WINNT\system32\WinGate.exe".
The tool has deleted the viral file "C:\WINNT\system32\RAVMOND.exe".
The tool has deleted the viral file "C:\WINNT\system32\IEXPLORE.EXE".
The tool has deleted the viral file "C:\WINNT\system32\ily668.dll".
The tool has deleted the viral file "C:\WINNT\system32\Task688.dll".
The tool has deleted the viral file "C:\WINNT\system32\reg678.dll".
The tool has deleted the viral file "C:\WINNT\system32\kernel66.dll".
Can't delete the viral file "C:\WINNT\system32\111.dll", it will be deleted on next reboot.
W32.HLLW.Lovgate.[A-L]@mm has been successfully removed from your computer!
Here is the report:
Some file(s) could not be deleted. They will be deleted on next reboot.
The total number of the scanned files: 52810 The number of deleted files: 12 The number of repaired files: 0 The number of viral processes terminated: 3 The number of registry entries fixed: 6
Nu skal jeg lige finde ud af hvor langt vi er for jeg tror ikke du har brugt det rigtige værktøj, men bare rolig det sker der nu ikke noget ved. Jeg skal lige vide hvilket fast antivirusprogram du har på din puter før vi går videre.
Bedst som jeg troede at at mine PC problemer (næsten) var væk, starter jeg glad min PC idag, det første vindue der popper op, da Windows starter op, er WinVnc boksen !!!
perhaps > de 3 øverste er netop fjernet med 'Hijack this', men jeg kan ikke helt se hvordan jeg kun deaktivere den nederste, og ikke blot sletter den, er "startup" i programmet 'Hijack this', eller ?
Nej, der skal du gå ind på denne måde klik start -skriv msconfig i boksen- og se på fanebladet start om denne O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE er der. Hvis den er der skal du fjerne fluebenet. Den skal ikke starte op sammen med windows.
Undskyld jeg lige bryder ind. Men der er måske en trojaner inde. Fandt denne trojaner der installerer Winvnc. Fra http://www.antivirus-online.de/german/news030301.php Denne tekst: Einmal ausgeführt werden die Dateien "Psexec.exe" und "Inst.exe" erstellt. Die Datei "Inst.exe" installiert dann das Programm "WinVNC" das aus den folgenden Dateien besteht:
Du må gerne bryde ind tonnybrandt. Den virus du opgiver er ganske typisk for WinVnc-boksen, så det er slet ikke usansynligt den er inde. Øøh beta har du ingen fast virusscanner? Onlinescan (som også tonnybrandt siger) med housecall igen.
Når jeg vil køre en online virus scanning fra Housecall, bliver der skrevet at det er en indvalid zip fil der er hentet ned (Error code 47)
Jeg må indrømme, at jeg først nu har fået Norton Antivirus ind (igen), har tidligere brugt den, men der er gået nogle måneder hvor den ikke har været inst., pga. tidligere formatering :-/
Nu forstår jeg intet. Jeg har lige siden kl. 11.00 i formiddags skrevet en lang række kommentarer. Hvor er de????????????? De var da vigtige for den videre problemløsning. Har Eksperten smidt indlæggene ud??????????????? Er der ikke en admin/co.admin som kan forklare ellers gider jeg ikke længere. ??????????????????????
Åh bær over med mig! Undskyld! Det var ikke i dette indlæg. Det er svært at holde det hele adskilt. Jeg har haft fem styk kørende samtidig. Et par stykker på Eksperten samt en i Tyskland og to i USA. Undskyld endnu engang.
Jeg har nu kørt en Panda online virus scan uden at der blev fundet virus, før den kørte jeg Norton Antivirus, og den fandt 3 virus/backdoors på maskinen: "backdoor.dvldr", i hhv. inst.exe - rundll32.exe - ~GLH00003.TMP, der står ud for dem at de er 'Quarantined', men hvad betyder det ?
Det tidligere problem med WinVnc er der stadig, kan simpelthen ikke få det væk, også selv om jeg vælger at inst. programmet rigtigt, og fjerner det igen. Der bliver skrevet at en anden process er aktiv hvis jeg vil tilslutte til en server, men den selvinst. WinVnc =:-//
Tak for alle (!!) jeres indlæg, det var overvældende. Jeg er nu nået frem til hvor jeg (håber jeg) er sluppet af med alt det skrammel som har været på maskinen. Mange formateringer (og grå hår) senere sidder jeg nu her med en 'frisk' PC med Win2000. Præcis hvor og hvordan det er lykkes mig at få en så "tilsnavset" PC, er mig stadig en gåde, jeg har ikke helt fundet ud af hvad jeg har gjort rigtigt denne gang. Var meget tæt på at droppe Win2000.
Jeg mangler et par "svar", hvis i vil være så venlige...
Tak for points og tillykke med din "nye" puter. Til at forebygge ville jeg bruge nogle af de gode værktøjer fra Spywarefri. Bruger du f.eks. IE-Spyad, Browser Hijack Blaster, SpywareBlaster og Spybot, så kan du næsten tillade dig også at færdes på de skumle sider uden at der sker det mindste.
Jeg har også det problem, og fandt en løsning (med hjælp fra jer her på siden). Det er et lille program ved navn stinger der, tilsyneladende, har fjernet det. Det kan findes her: http://vil.nai.com/vil/stinger/
Det lyder som et intressant program (Stinger), men jeg ved ikke om det er min PC der endnu engang er gået i koma, for der sker intet, ud over at timeglasset ses i ca. 5 sek. når der trykkes på StingPkg.Exe :-/
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.