Avatar billede beta Nybegynder
10. maj 2003 - 11:46 Der er 86 kommentarer og
2 løsninger

W2K: "Dialog box demo" ?

Efter geninst. af W2K + opdatering fra MS, har jeg nu fået en "Dialog box demo", og når maskinen skal lukkes ned, hænger systemet pga. denne "Dialog box demo". 

Hvad er det, og hvordan fjerner man den ?
Avatar billede fromsej Praktikant
10. maj 2003 - 11:54 #1
Har du kigget efter den i Tilføj/Fjern programmer?
Avatar billede beta Nybegynder
10. maj 2003 - 11:56 #2
Ja, der findes den ikke.
Avatar billede fromsej Praktikant
10. maj 2003 - 11:58 #3
Prøv at fjerne seneste opdatering, genstar og se om den stadig er der.
Avatar billede fromsej Praktikant
10. maj 2003 - 13:56 #4
Som altid når noget er mystisk.
Scan for Vira og spyware.
http://spybot.eon.net.au/index.php?lang=en&page=download - Renser for Spyware
http://housecall.trendmicro.com/ - online virusscan
http://www.avirus.dk/avirus.htm - F-Prot DOS virusscan
Avatar billede beta Nybegynder
11. maj 2003 - 18:05 #5
Tak for svarene, er "Dialog box demo" noget som kommer fra Windows, i msconfig optræder den ikke ?
Avatar billede fromsej Praktikant
11. maj 2003 - 21:21 #6
Jeg har aldrig set den, hverken i 2K eller 98.
Har du prøvet at scanne din maskine?
Avatar billede beta Nybegynder
11. maj 2003 - 22:01 #7
Jeg kørt en spybot på maskinen, uden at dét havde noget at sige. Housecall køre ca. 30%, så kommer der en medl. om at forbindelsen til serveren er forsvundet, har forsøgt flere gange.

Det utrolige er, at jeg kun har nyeste CloneCD, Cdex 1.5b7, Office 2000 (kun Word), WinAmp 2.8, ICQ 2002a, en ældre ZoneAlarm og så fuld opdatering fra MS, og aldrig før har der været problemer med disse programmer, som iøvrigt (på nære nyeste MS update) også ligger i den ghostfil som jeg tidligere omtalte, og som  har virket 100%. Mystikken breder sig....!

En ting er sikkert, det er træls ikke at kunne lukke sin PC ned, uden at der popper den der boks op med "Dialog box demo", som skal lukkes 2 gange før jeg kan lukke ned/genstarte.
Avatar billede fromsej Praktikant
11. maj 2003 - 22:06 #8
http://www.spywarefri.dk/onlinevark.htm
Prøv disse scannere, så kigger jeg ind igen i morgen.*S*
Avatar billede fromsej Praktikant
11. maj 2003 - 22:12 #9
Har du deaktiveret Tjenesten messenger?
Hvis ikke, så prøv lige det.
Avatar billede beta Nybegynder
12. maj 2003 - 01:04 #10
Hvordan er det nu lige at man deaktivere "Messenger" i Win2000 ?
Avatar billede perhaps Nybegynder
12. maj 2003 - 07:53 #11
Det er ikke chatprogrammet fromsej mener. Microsoft har to slags messenger. Den du skal deaktivere kan du læse alt om her
http://www.spywarefri.dk/tipsogtricks.htm#messenger

Dialog box memo kan jeg huske at jeg har været med i en debat om for lang tid siden (eller læste jeg bare indlæget???)Det har nok været i et af de udenlandske fora. Det har i hvert fald ikke noget med virus og spyware at gøre. Prøv alligevel at gøre som fromsej siger deaktivere messenger, det sker der ikke noget ved. 

Jeg mener det har noget at gøre med enten CloneCD eller Cdex 1.5b7. Jeg har søgt som en djævel efter det indlæg som jeg engang har set noget om denne dialog box memo, og så vidt jeg husker fik jeg også tilføjet et indlæg (eller gjorde jeg??), men jeg kan ikke finde det, så nu efter en halv times søgen opgiver jeg.

Mit råd er: Prøv lige at deaktivere CloneCD/Cdex 1.5b7 og se så lige efter om den stadig er der. Jeg mener ikke det har noget med Microsoft at gøre.
Avatar billede perhaps Nybegynder
13. maj 2003 - 05:19 #12
beta> hvordan ser det ud?
Avatar billede tonnybrandt Nybegynder
13. maj 2003 - 18:33 #13
Har du prøvet msconfig ?
Avatar billede tonnybrandt Nybegynder
13. maj 2003 - 18:41 #14
fromsej >> Det ved jeg skam godt, hvilket er grunden til at jeg tidligere i dette spørgsmål har givet en link, hvorfra han kan downloade msconfig. Faktisk det samme link som du har givet. *GG*
Avatar billede fromsej Praktikant
13. maj 2003 - 18:45 #15
Ups.*S*
Avatar billede tonnybrandt Nybegynder
13. maj 2003 - 20:33 #16
No problemo :-)
Avatar billede beta Nybegynder
13. maj 2003 - 20:41 #17
Det ser ikke for godt ud, intet hjælper på problemet.

Et meget underligt problem!
Avatar billede tonnybrandt Nybegynder
13. maj 2003 - 22:27 #18
Har du prøvet at gå ind i msconfig, slå alt fra på start fanebladet og genstarte ????

Er problemet der stadig, efter at have fulgt denne procedure ?
Avatar billede tonnybrandt Nybegynder
13. maj 2003 - 22:29 #19
Husk at programmet ikke hedder "dialog box demo". Det er blot en fejlkodning i et program. Programmet kan hedde hvad som helst.
Avatar billede perhaps Nybegynder
14. maj 2003 - 13:17 #20
Det kunne være efterladenskaber fra et program (shareware, demoprogrammer eller freeware måske) som du har haft installeret og hvor du ikke har fået fjernet alt. (Dialog box demo!!! Jo det kunne være den slags) Prøv at downloade Regcleaner og se om der ligger efterladenskaber fra gamle afinstallerede programmer som du så kan fjerne med Regcleaner. Her er Urlen
http://www.vtoy.fi/jv16/shtml/regcleaner.shtml
Avatar billede brinkoman Nybegynder
14. maj 2003 - 17:14 #21
Hej!

Jeg har lige fået det samme problem i W2K. Jeg kan fx ikke køre min FirstClass client og nogle nye programmer vil ikke installere pga. dette underlige problem!

Jeg har prøvet at fjerne alt hvad der bliver kørt i opstarten med msconfig, men det hjælper ikke. Jeg vil nu prøve med regcleaner for at se om det skulle være bedre...
Avatar billede brinkoman Nybegynder
14. maj 2003 - 17:39 #22
Jeg kan ikke få det til at virke...

Det er pisseirreterende når man lige har købt sig et webcam, og så ikke kan installere softwaren :-(
Avatar billede beta Nybegynder
14. maj 2003 - 17:41 #23
Herfra ikke den store succes, jeg oplever også at internetforbindelse til tider føles langsommere end normalt, f.eks. skriver den ofte "Opretter forbindelse til webstedet", selv om det blot er google.com den skal ind på, andre gange får jeg java fejl på siderne.....
Avatar billede fromsej Praktikant
14. maj 2003 - 17:43 #24
Ja, jeg kan godt se problemet, men lige nu er jeg altså tom for idéer.
Det der irriterer mig mest er at jeg ikke kan finde noget som helst på nettet om problemet.
Men jeg kæmper videre.
Avatar billede beta Nybegynder
14. maj 2003 - 19:39 #25
Det kan godt være at løsningen måske er en total formation, men det er et meget suspekt problem, aldrig har Windows 2000 kørt så dårligt som det gør nu, og det selv om der er et minimum af programmer inst.
Avatar billede perhaps Nybegynder
14. maj 2003 - 19:39 #26
Så må vi altså ha' fat i HijackThis. Du skal downloade programmet herfra
http://www.spywarefri.dk/vaerktoj.htm#18.04.2003. og derefter scanne pc'en og til sidst skal du kopiere din log herind på siden så kan vi finde ud af hvad du skal slette (eller fixe som HijackThis kalder det). Men du skal lige læse om programmet først på den Url jeg har givet dig og så skal du følge den danske vejledning. Er hjemme igen ved 21-tiden. HijackThis bruges meget til sådanne problemer i de større udenlandske fora og det er da også begyndt at komme lidt med herhjemme.
Avatar billede brinkoman Nybegynder
14. maj 2003 - 19:51 #27
Hej...

Jeg ved godt det ikke er mig der har postet problemet, men det er nøjagtig det samme jeg døjer med, og her er min log-fil fra HijackThis:

Logfile of HijackThis v1.94.0
Scan saved at 19:45:11, on 14-05-2003
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
F1 - win.ini: run=RAVMOND.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003050501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
Avatar billede perhaps Nybegynder
14. maj 2003 - 19:58 #28
Hov brinkoman! Ravmond.exe er gruelig gal. Det er en kombination af en orm og en trojansk hest. Kommer senere tilbage. Har ikke lige tid mere.
Avatar billede brinkoman Nybegynder
14. maj 2003 - 20:03 #29
hmmm.. vil det sige jeg skal få HijackThis til at fjerne den der hest?
Avatar billede fromsej Praktikant
14. maj 2003 - 20:05 #30
Så kunne det være spændende at se Beta´s log, om det er samme djævel.
Avatar billede fromsej Praktikant
14. maj 2003 - 20:11 #31
brinkoman>>Tag det roligt, jeg kigger lige om jeg kan finde noget, ellers må du vente til Førsteholdet(Perhaps) kommer igen.*S*
Avatar billede brinkoman Nybegynder
14. maj 2003 - 20:14 #32
Nu har jeg fjernet den der hest som perhaps talte om vha. HijackThis.

Det virker ikke på mit problem med "dialog box demo" beskeden, så vi er igen på bar bund!
Avatar billede fromsej Praktikant
14. maj 2003 - 20:16 #33
Avatar billede fromsej Praktikant
14. maj 2003 - 20:17 #34
Hvordan fjernede du den?
Avatar billede brinkoman Nybegynder
14. maj 2003 - 20:19 #35
puha... jeg tor skam ikke jeg har fjernet den endnu efter at have læst lidt på den side du lige sendte... Nu er jeg igang med den helt store opperation...

Det er efterhånden ikke så underligt at min computer har opført sig lidt underligt nogle gange!
Avatar billede perhaps Nybegynder
14. maj 2003 - 20:42 #36
Tilbage igen. Den der mobsync.exe ville jeg fixe hvis jeg var dig. Du kan læse mere om den her

Microsoft Mobile Synchronization Manager. One annoying programme you will find running in W2K/XP is mobsync.exe. This is because it is set by default to synchronise your home page at log-on. To stop this, run the programme "Synchronise" from your "Start/Programmes/Accessories Menu. Select setup, and uncheck the synchronisation options, then deselect the option to synchronise your home page. From explorer select Tools/Folder Options/Offline Files: deselect the "Enable Offline Files" option. When you reboot you will find the programme is no longer running by default. You can also remove optional components from your Windows 2000 installation that are not shown in the Add/Remove Programmes applet.

Jeg kigger lige videre.
Avatar billede perhaps Nybegynder
14. maj 2003 - 20:44 #37
06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 er ok! Skal ikke fixes.
Avatar billede perhaps Nybegynder
14. maj 2003 - 20:47 #38
8E718888-423F-11D2-876E-00A0C9082467 vil jeg også mene er ok! Skal ikke fixes
Avatar billede brinkoman Nybegynder
14. maj 2003 - 20:59 #39
Jeg er ved at fjerne den der trojanske hest med sysclean fra Trend Micro.

Der kommer en meddelelse når jeg scanner som siger: "Please reboot your system to clean trojan."

Men når jeg genstarter sker der ikke noget, og når jeg scanner igen, siger den det samme!
Avatar billede perhaps Nybegynder
14. maj 2003 - 21:03 #40
brinkoman; Du har nu ikke flere dårlige, resten er ok. Når du bruger HijackThis og skal fixe poster, så husk lige at lukke alle de programmer ned som du kan før du fixer. Bagefter skal du genstarte puteren, og herefter ville jeg foretage en onlinescanneing for spyware enten med en fast scanner eller onlinescanneren på Spywarefri.dk Det er jo sådan at HijackThis slet ikke viser dataminers f.eks. Kom lige med en tilbagemelding når du har gjort disse ting og fortæl om Dialog box memo stadig er der.
Avatar billede brinkoman Nybegynder
14. maj 2003 - 21:07 #41
som sagt er jeg igang med at fjerne ormen med sysclean... Jeg får dette output fra programmet:

Found Virus: [WORM_LOVGATE.F]
1st.action->[move] Move failed...
2nd.action->[delete] Delete failed...

hvad kan det betyde?
Avatar billede perhaps Nybegynder
14. maj 2003 - 21:09 #42
Den Lovgate er en af de rigtig stygge (desværre) følger du opskriften nøje fra det link som fromsej gav dig?
Avatar billede perhaps Nybegynder
14. maj 2003 - 21:12 #43
Det betyder at programmet har svært ved at gøre noget ved den (desværre).
Avatar billede brinkoman Nybegynder
14. maj 2003 - 21:21 #44
Nu har jeg undersøgt log-filen som sysclean smidder ud, og det var spændende læsning.

Jeg kan se at programmet har succes med at fjerne virusen i alle inficerede filer, bortset fra én, nemlig Internet Explorer... hvad fanden skal jeg gøre ved det?
Avatar billede perhaps Nybegynder
14. maj 2003 - 21:24 #45
Jeg havde ellers lige fundet et værktøj lige til den slags, her
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.lovgate.removal.tool.html
Måske skulle du køre F-Prot som er effektivt og kører i dos. http://www.avirus.dk
Avatar billede brinkoman Nybegynder
14. maj 2003 - 21:29 #46
Altså hvorfor skriver du at du "ellers" lige havde fundet det program... skal jeg ikke installere det eller hvad?

Skal jeg springe lige til F-Prot, og hvad kan det gøre når IE er inficeret?
Avatar billede perhaps Nybegynder
14. maj 2003 - 21:37 #47
Det link til symantec som jeg gav dig er et værktøj som skulle kunne fjerne hele den orm/trojan, men nu har du jo "næsten" fjernet den. På den anden side vil der nok ikke ske noget ved at køre det.

F-Prot kører som sagt i dos og her er hele windows-systemet jo slet ikke åbnet, derfor vil F-Prot sansynligvis kunne snuppe de sidste rester af virussen. Det ville jeg prøve. Programmet fylder bare 2 disketter, men virker lidt gammeldags og er ikke så hurtigt, men effektivt. Jeg ville starte med F-Prot.
Avatar billede brinkoman Nybegynder
14. maj 2003 - 21:45 #48
Puha... nu er det fjernet ... (tror jeg)

Det var det der symantec-program som klarede det, og nu er alle problemer væk, inklusive vores dejlige meddelelse omkring en dialog box demo
og mit problem med at installere mit kamera!

Mange tak for hjælpen, det var en hård omgang

Jeg vil med glæde give jer et læs point, bare sig hvor mange, så opretter jeg lige et spm...
Avatar billede tonnybrandt Nybegynder
14. maj 2003 - 22:14 #49
Vil bare lige sige: Flot samarbejde til de involverede her. Har fulgt med på sidelinien :-)
Avatar billede perhaps Nybegynder
14. maj 2003 - 22:15 #50
Det var dejligt du kom af med det skidt og også "dialog box demo". Points betyder ikke så meget for mig.
Avatar billede perhaps Nybegynder
14. maj 2003 - 22:19 #51
så må vi lige ha' beta på banen. Han startede jo spørgsmålet.
Avatar billede fromsej Praktikant
14. maj 2003 - 23:41 #52
Jeg giver Perhaps ret her, pyt med pointene, det vigtige er at få alt det l... udryddet.*S*
Avatar billede beta Nybegynder
14. maj 2003 - 23:50 #53
Fantastisk mange svar, her er min logfil :

Logfile of HijackThis v1.93.0
Scan saved at 23:48:46, on 14-05-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmer\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmer\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programmer\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PlexTools.lnk = C:\Programmer\Plextor\PlexTool.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003050501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37748.1600115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede perhaps Nybegynder
15. maj 2003 - 05:44 #54
Vender tilbage iaften, da jeg skal på job nu. Men kan lige se at
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
kan du roligt fixe.
Har du prøvet en onlinescanning hos Spywarefri for spyware/trojaner på deres nye hurtigscanner. Ellers kør lige en scanning. Tager få sek.
Men som sagt: Vender tilbage iaften.
Avatar billede perhaps Nybegynder
15. maj 2003 - 09:07 #55
Ok! fik lidt tid så nu kan du gå i gang.

Bliver du nogen gange mødt af denne hilsen: Hello. I’m NetSnake? Du har nemlig netsnake-trojaneren på din puter. Det kan jeg se ud fra filen internat.exe. Her har du værktøjet til at fjerne den: 
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.netsnake.html

NeroCheck.exe er ok og PlexTool.exe er også ok. Begge tilhører din brænder

Upd.reg og  Jet Detection kan du godt fixe. De er ikke nødvendige.

CTHELPER.EXE skal du deaktivere i Startup (msconfig) hvis den findes der, men ikke slettes.
Avatar billede beta Nybegynder
15. maj 2003 - 19:58 #56
Fy for den lede...trojaner!! Jeg får ikke denne besked : "Hello. I’m NetSnake?"

Men hvordan dælen er internat.exe havnet på min maskine, jeg passer så meget på hvad jeg ligger ind ?!

Kan Netsnake scanneren køres online, synes ikke lige jeg kan finde noget sted hvor der står noget om det.


Logfilen til Fixlgate ser således ud :


The process "WinHelp.exe" is viral. It is terminated.

The process "IEXPLORE.EXE" is viral. It is terminated.

The process "winrpc.exe" is viral. It is terminated.

Viral thread 0000033C was terminated.

Viral thread 00000310 was terminated.

Viral thread 0000030C was terminated.

Viral thread 00000348 was terminated.

Viral thread 00000660 was terminated.

Viral thread 00000640 was terminated.

Viral thread 0000070C was terminated.

Viral thread 00000584 was terminated.

Viral thread 0000058C was terminated.

Viral thread 000006D8 was terminated.

Service "ll_reg" was deleted.

Service "Microsoft NetWork FireWall Services" was deleted.

Service "NetMeeting Remote Desktop (RPC) Sharing" was deleted.

Service "Windows Management Instrumentation Driver Extension" was deleted.

Deleted the value "WinGate initialize" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\".

Deleted the value "winhelp" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".

Deleted the value "Remote Procedure Call Locator" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".

Deleted the value "Program In Windows" from the registry key
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run".

The default value of the registry key
"Software\Classes\txtfile\shell\open\command"
is set to "notepad.exe %1".

The value "run" of the registry key
"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows"
is set to "".

The tool has deleted the viral file "C:\WINNT\system32\NetServices.exe".

The tool has deleted the viral file "C:\WINNT\system32\WinDriver.exe".

The tool has deleted the viral file "C:\WINNT\system32\WinHelp.exe".

The tool has deleted the viral file "C:\WINNT\system32\winrpc.exe".

The tool has deleted the viral file "C:\WINNT\system32\WinGate.exe".

The tool has deleted the viral file "C:\WINNT\system32\RAVMOND.exe".

The tool has deleted the viral file "C:\WINNT\system32\IEXPLORE.EXE".

The tool has deleted the viral file "C:\WINNT\system32\ily668.dll".

The tool has deleted the viral file "C:\WINNT\system32\Task688.dll".

The tool has deleted the viral file "C:\WINNT\system32\reg678.dll".

The tool has deleted the viral file "C:\WINNT\system32\kernel66.dll".

Can't delete the viral file "C:\WINNT\system32\111.dll", it will be deleted on next reboot.

W32.HLLW.Lovgate.[A-L]@mm has been successfully removed
from your computer!

Here is the report:

Some file(s) could not be deleted.
They will be deleted on next reboot.

The total number of the scanned files: 52810
The number of deleted files: 12
The number of repaired files: 0
The number of viral processes terminated: 3
The number of registry entries fixed: 6
Avatar billede beta Nybegynder
15. maj 2003 - 20:10 #57
Jeg har netop kørt en Trojan-tjek fra Spywarefri, det kom der dette ud af :

Scan time: 08:11

Port 1025 is open
Application(s): network blackjack, ICQ
Trojan(s): NetSpy, Maverick’s Matrix, RemoteStorm

Scan complete!
356 ports scanned
1 open ports found
Avatar billede perhaps Nybegynder
15. maj 2003 - 21:29 #58
Nu skal jeg lige finde ud af hvor langt vi er for jeg tror ikke du har brugt det rigtige værktøj, men bare rolig det sker der nu ikke noget ved. Jeg skal lige vide hvilket fast antivirusprogram du har på din puter før vi går videre.
Avatar billede fcs Novice
15. maj 2003 - 23:23 #59
Fromsej og tonnybrandt>> Jeg har fjernet jeres links til MSConfig, da det er materiale med Copyrights på (MS). Soryy guys ;-)

Med venlig hilsen

FCS/Coadmin
Avatar billede fromsej Praktikant
15. maj 2003 - 23:25 #60
Fair nok, det spekulerede jeg ikke lige på, beklager.*S*
Avatar billede fcs Novice
15. maj 2003 - 23:53 #61
Helt ok
Avatar billede beta Nybegynder
16. maj 2003 - 07:34 #62
Bedst som jeg troede at at mine PC problemer (næsten) var væk, starter jeg glad min PC idag, det første vindue der popper op, da Windows starter op, er WinVnc boksen !!!

Fra tidligere spørgsmål :

www.eksperten.dk/spm/349167

Jeg har intet lagt ind på maskinen, hvordan er det muligt at WinVnc er tilbage igen ?!
Avatar billede perhaps Nybegynder
16. maj 2003 - 08:02 #63
Fik du fjernet disse tre:

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection]:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe

Denne skal du deaktivere under Startup, MEN IKKE FJERNE.  (kør - msconfig):
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

Har du gjort det?? Hvis du har spørgsmål til de fire ting skal du komme tilbage.
Avatar billede beta Nybegynder
16. maj 2003 - 08:58 #64
perhaps > de 3 øverste er netop fjernet med 'Hijack this', men jeg kan ikke helt se hvordan jeg kun deaktivere den nederste, og ikke blot sletter den, er "startup" i programmet 'Hijack this', eller ?
Avatar billede perhaps Nybegynder
16. maj 2003 - 09:34 #65
Nej, der skal du gå ind på denne måde klik start -skriv msconfig i boksen- og se på fanebladet start om denne O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
er der. Hvis den er der skal du fjerne fluebenet. Den skal ikke starte op sammen med windows.
Avatar billede perhaps Nybegynder
16. maj 2003 - 09:36 #66
Denne skal du selvfølgelig også fjerne i HijachThis, men det går jeg ud fra du har gjort: O4 - HKCU\..\Run: [internat.exe] internat.exe
Avatar billede tonnybrandt Nybegynder
16. maj 2003 - 09:41 #67
Undskyld jeg lige bryder ind. Men der er måske en trojaner inde. Fandt denne trojaner der installerer Winvnc.
Fra
http://www.antivirus-online.de/german/news030301.php
Denne tekst:
Einmal ausgeführt werden die Dateien "Psexec.exe" und "Inst.exe" erstellt. Die Datei "Inst.exe" installiert dann das Programm "WinVNC" das aus den folgenden Dateien besteht:

Så jeg vil anbefale at køre en generel virusscan af din maskine i tilgift.
f.eks: http://housecall.trendmicro.com/
Avatar billede perhaps Nybegynder
16. maj 2003 - 10:34 #68
Du må gerne bryde ind tonnybrandt. Den virus du opgiver er ganske typisk for WinVnc-boksen, så det er slet ikke usansynligt den er inde. Øøh beta har du ingen fast virusscanner? Onlinescan (som også tonnybrandt siger) med housecall igen.
Avatar billede beta Nybegynder
16. maj 2003 - 19:07 #69
Når jeg vil køre en online virus scanning fra Housecall, bliver der skrevet at det er en indvalid zip fil der er hentet ned (Error code 47)

Jeg må indrømme, at jeg først nu har fået Norton Antivirus ind (igen), har tidligere brugt den, men der er gået nogle måneder hvor den ikke har været inst., pga. tidligere formatering :-/
Avatar billede fromsej Praktikant
16. maj 2003 - 19:16 #70
Housecall kører fint her.
Avatar billede perhaps Nybegynder
16. maj 2003 - 20:00 #71
Prøv med pandas online. Her på denne side yderst til højre. http://www.spywarefri.dk/onlinevark.htm
Avatar billede perhaps Nybegynder
16. maj 2003 - 20:03 #72
Nu forstår jeg intet. Jeg har lige siden kl. 11.00 i formiddags skrevet en lang række kommentarer. Hvor er de????????????? De var da vigtige for den videre problemløsning. Har Eksperten smidt indlæggene ud??????????????? Er der ikke en admin/co.admin som kan forklare ellers gider jeg ikke længere.
??????????????????????
Avatar billede fromsej Praktikant
16. maj 2003 - 20:08 #73
De er nok ikke nået frem, jeg har ikke fået mails om indlæg fra dig siden i formiddags, desværre for så havde jeg haft teksten.
Avatar billede perhaps Nybegynder
16. maj 2003 - 20:09 #74
Åh bær over med mig! Undskyld! Det var ikke i dette indlæg. Det er svært at holde det hele adskilt. Jeg har haft fem styk kørende samtidig. Et par stykker på Eksperten samt en i Tyskland og to i USA. Undskyld endnu engang.
Avatar billede fromsej Praktikant
16. maj 2003 - 20:14 #75
Perhaps>>Der gjorde du mig sq nervøs.*LOL*
Avatar billede perhaps Nybegynder
16. maj 2003 - 20:21 #76
fromsej>Det er "arbejdsstress" ;o)
Jeg ER faldet ned.
Avatar billede beta Nybegynder
17. maj 2003 - 07:40 #77
Jeg har nu kørt en Panda online virus scan uden at der blev fundet virus, før den kørte jeg Norton Antivirus, og den fandt 3 virus/backdoors på maskinen: "backdoor.dvldr", i hhv. inst.exe - rundll32.exe - ~GLH00003.TMP, der står ud for dem at de er 'Quarantined', men hvad betyder det ?

Det tidligere problem med WinVnc er der stadig, kan simpelthen ikke få det væk, også selv om jeg vælger at inst. programmet rigtigt, og fjerner det igen. Der bliver skrevet at en anden process er aktiv hvis jeg vil tilslutte til en server, men den selvinst. WinVnc =:-//
Avatar billede perhaps Nybegynder
17. maj 2003 - 13:00 #78
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.dvldr.html

Quarantined betyder de er sat i Nortons karantæne-område, så sker der ikke noget med din pc.
Avatar billede beta Nybegynder
21. maj 2003 - 21:37 #80
Tak for alle (!!) jeres indlæg, det var overvældende. Jeg er nu nået frem til hvor jeg (håber jeg) er sluppet af med alt det skrammel som har været på maskinen. Mange formateringer (og grå hår) senere sidder jeg nu her med en 'frisk' PC med Win2000. Præcis hvor og hvordan det er lykkes mig at få en så "tilsnavset" PC, er mig stadig en gåde, jeg har ikke helt fundet ud af hvad jeg har gjort rigtigt denne gang. Var meget tæt på at droppe Win2000.

Jeg mangler et par "svar", hvis i vil være så venlige...
Avatar billede robotten Praktikant
02. juni 2003 - 13:56 #81
De er vist ligeglade. Der er gået over en uge, så du kan godt tillade dig at lukke.
Avatar billede beta Nybegynder
02. juni 2003 - 15:16 #82
Fint, så bliver det 50/50.
Avatar billede perhaps Nybegynder
02. juni 2003 - 16:07 #83
Tak for points og tillykke med din "nye" puter.
Til at forebygge ville jeg bruge nogle af de gode værktøjer fra Spywarefri. Bruger du f.eks. IE-Spyad, Browser Hijack Blaster, SpywareBlaster og Spybot, så kan du næsten tillade dig også at færdes på de skumle sider uden at der sker det mindste.
Avatar billede al79 Nybegynder
15. august 2003 - 01:50 #84
Jeg har også det problem, og fandt en løsning (med hjælp fra jer her på siden).
Det er et lille program ved navn stinger der, tilsyneladende, har fjernet det.
Det kan findes her: http://vil.nai.com/vil/stinger/
Avatar billede fromsej Praktikant
15. august 2003 - 10:14 #85
Godt.*S*
Og tak, det var rart at vide at det kan løses med Stinger.
Avatar billede beta Nybegynder
15. august 2003 - 17:24 #86
Det lyder som et intressant program (Stinger), men jeg ved ikke om det er min PC der endnu engang er gået i koma, for der sker intet, ud over at timeglasset ses i ca. 5 sek. når der trykkes på StingPkg.Exe :-/
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester