Avatar billede alsingeren Nybegynder
03. november 2003 - 00:05 Der er 49 kommentarer og
1 løsning

HijackThis & virus

Hej.
Har en kollega som har været uheldig, hver gang han starter IE op popper der ca. 40 sider med TheHun.net op.
Vi har kørt Norton Antivirus, dog uden held. Fant et link til HijackThis, men det er "russisk" snak for mig/os. så vi håber at der er nogen der ved bedre.
På forhånd tak!
Her er logfilen:

Logfile of HijackThis v1.97.3
Scan saved at 13:25:02, on 02-11-03
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\WINDOWS\SYSTEM\SVCPACK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\OPLIMIT\OCRAWR32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMER\FæLLES FILER\NOKIA\NCLTOOLS\NCLCONF.EXE
C:\PROGRAMMER\FæLLES FILER\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAMMER\ADAPTEC\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMMER\SETEC\WEB AND EMAIL SECURITY\CERTUTIL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\HPONLREG\REMIND32.EXE
C:\WINDOWS\SYSTEM\MSCNT.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMER\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\PROGRAMMER\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMMER\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMMER\HEWLETT-PACKARD\HP OFFICEJET PRO 1170C-SERIEN\HPMSP2IA.EXE
C:\WINDOWS\SYSTEM\hpmdlbia.exe
C:\PROGRAMMER\MICROSOFT OFFICE2000\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\MICROSOFT OFFICE2000\OFFICE\EXCEL.EXE
C:\WINDOWS\MSAGENT\AGENTSVR.EXE
C:\PROGRAMMER\HEWLETT-PACKARD\HP OFFICEJET PRO 1170C-SERIEN\HPMSP4IA.EXE
C:\WINDOWS\SKRIVEBORD\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gftaxi.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jubii.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xwebsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xwebsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: load=C:\OPLIMIT\OCRAWARE.EXE
F1 - win.ini: run=C:\WINDOWS\svcpack.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\SYSTEM\DREPLACE.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\PROGRAMMER\FæLLES FILER\NOKIA\NCLTOOLS\NCLCONF.EXE"
O4 - HKLM\..\Run: [CreateCD50] "C:\Programmer\Fælles filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HP Product Registration] C:\WINDOWS\HPOnLReg\Remind32.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [Mscnt] c:\windows\system\mscnt.exe /noconnect
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScardSvr] C:\WINDOWS\SYSTEM\ScardSvr.exe
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcpack.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMMER\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: HP ScanPicture.lnk = C:\Programmer\Hewlett-Packard\HP OfficeJet Pro 1170C-serien\hpmsp2ia.exe
O4 - Startup: HP 1170 FPB.lnk = C:\WINDOWS\SYSTEM\hpmdlbia.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office2000\Office10\OSA.EXE
O4 - Startup: Web påmindelse .lnk = C:\Programmer\Hewlett-Packard\HP OfficeJet Pro 1170C-serien\reminder.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen335.CAB
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.jv.dk/activex/AxisCamControl.ocx
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB....7291667
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
Avatar billede aovergaard Nybegynder
03. november 2003 - 00:42 #1
Ok, det er heldigvis ikke sort snak for mig, og jeg kan godt se han har et stort problem. Der går mindst ca. 1 tim. før der kan være svar klar til ham.
Avatar billede alsingeren Nybegynder
03. november 2003 - 00:45 #2
Venter spændt.
Er på arbejde til kl.07.00 så jeg venter bare ;o)
Avatar billede aovergaard Nybegynder
03. november 2003 - 02:00 #3
Ok, nu kommer der en kæmpe smøre, for den var styg den log. Det vil være en rigtig god ide at udskrive det hele her, det får du brug for.

Du skal nu til at i gang med at fixe. Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gftaxi.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jubii.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://xwebsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://xwebsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http:///
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F1 - win.ini: load=C:\OPLIMIT\OCRAWARE.EXE
F1 - win.ini: run=C:\WINDOWS\svcpack.exe

O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\SYSTEM\DREPLACE.DLL

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" –atboottime
O4 - HKLM\..\RunServices: [SVC Service] C:\WINDOWS\SYSTEM\svcpack.exe
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen335.CAB
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.jv.dk/activex/AxisCamControl.ocx
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab


Kender du selv denne, jeg kan ikke finde noget på den. Hvis ikke så fix den.
O4 - HKLM\..\Run: [Mscnt] c:\windows\system\mscnt.exe /noconnect

Og denne her O4 - HKLM\..\RunServices: [ScardSvr] C:\WINDOWS\SYSTEM\ScardSvr.exe ----kan relatere til et smartcard. Har han ikke smartcard, er det en virus som samme fil også kan relatere til, og så skal den fixes.

Genstart nu din computer i fejlsikret tilstand find og slet disse:

C:\PROGRAMMER\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
C:\WINDOWS\SYSTEM\SVCPACK.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE --------- Denne skal slettes hvis han ikke havde et smartcard
C:\OPLIMIT\OCRAWARE.EXE
C:\OPLIMIT\OCRAWR32.EXE

C:\WINDOWS\SYSTEM\MSCNT.EXE ------- Denne skal også væk hvis i ikke kender til den, det er også den jeg spørger til under Kender du selv: O4 - HKLM\..\Run: [Mscnt] c:\windows\system\mscnt.exe /noconnect
Jeg tror det er snavs, der er virkelig intet om denne fil på hele Internettet, og det tyder ikke godt.

Disse er unødvendige at have liggende I din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\PROGRAMMER\FæLLES FILER\NOKIA\NCLTOOLS\NCLCONF.EXE"
O4 - HKLM\..\Run: [CreateCD50] "C:\Programmer\Fælles filer\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HP Product Registration] C:\WINDOWS\HPOnLReg\Remind32.exe
O4 - Startup: HP ScanPicture.lnk = C:\Programmer\Hewlett-Packard\HP OfficeJet Pro 1170C-serien\hpmsp2ia.exe
O4 - Startup: HP 1170 FPB.lnk = C:\WINDOWS\SYSTEM\hpmdlbia.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office2000\Office10\OSA.EXE
O4 - Startup: Web påmindelse .lnk = C:\Programmer\Hewlett-Packard\HP OfficeJet Pro 1170C-serien\reminder.exe

Efter genstart skal du tage en ny scanning med HijackThis og ”smide” en ny log herind, så jeg kan kontrollere, at det hele er væk. Der er så meget skidt i denne log, at du måske kan glippe med nogle af dem, så det skal kontroleres. Måske foretager jeg først kontrollen i morgen, det er godt nok ved at være nat for mig nu. *S*

Aovergaard/TeamSpywarefri
Avatar billede alsingeren Nybegynder
03. november 2003 - 02:21 #4
Jeg takker mange gange.
Håber jeg får tid i morgen (i dag) at komme ud til ham, ellers så bliver det tirsdag, Smider en ny logfil op når det er så vidt.
Sov godt ;o)
Avatar billede nephilim Nybegynder
03. november 2003 - 03:24 #5
en som også har den fil http://www.computercops.biz/postt6444.html
ikke megen hjælp, men faldt lige over spgsmålet
Avatar billede aovergaard Nybegynder
03. november 2003 - 11:32 #6
nephilim-> Ja og den fandt jeg også, men som du siger der er ikke meget hjælp at hente der, men jeg er da næsten helt sikker på at det må være snavs. I modsat fald så, skulle der jo ligge nogle oplysninger på Nettet omkring den.
Avatar billede nephilim Nybegynder
03. november 2003 - 14:04 #7
kom lige til at tænke på om man ikke skulle prøve at se på den fil i hex eller prøve at disassemble den, der kunne jo stå noget om oprindelse der, i hvert fald hvis den er en "flink" fil?
Avatar billede aovergaard Nybegynder
03. november 2003 - 14:10 #8
Ja det kunne jo være sjovt at få at vide hvad pokker det egentlig er for noget.
Avatar billede alsingeren Nybegynder
03. november 2003 - 14:28 #9
aovergaard-> "godmorgen" Hvis det er mscnt.exe som i refererer til så kan jeg sende den til dig/nephilim, inden jeg prøver at "rense" hans computer hvis alt går efter planen, skal jeg ud til min kollega i aften omkring kl. 21.oo - 21.30
Avatar billede nephilim Nybegynder
03. november 2003 - 14:52 #10
Jeg kunne da godt tænke mig at kigge lidt i den med en hexeditor, hvor meget fylder den(hvis du kan huske det)?
Avatar billede alsingeren Nybegynder
03. november 2003 - 15:04 #11
-> nephilim Der må jeg være dig svar skyldig, hvis du kan vente til aften så kan jeg svare på det.
Avatar billede fromsej Praktikant
03. november 2003 - 17:02 #12
Nephilim>>Så vil vi meget gerne vide resultatet.*S*
Avatar billede aovergaard Nybegynder
03. november 2003 - 18:24 #13
Jeg har fundet ud af lidt mere om den fil. cnt står for counter som jo er en tællerfunktion. Ms skulle så få os tro at den kommer fra Microsoft, men det er ikke en Microsoft fil, så den SKAL væk.
Avatar billede alsingeren Nybegynder
03. november 2003 - 20:16 #14
Hej igen.
surt show. Vi fulgte jeres anvisninger, og da vi kom til genstart i fejlsikkertilstand kom den med meddelelsen explorer.exe har lavet en ulovlig handling og lukker derefter ned.
Ved ikke om det er pga. noget af alt det resterende "snask" som evt. er tilbage.
Så der er måske kun nødbremsen tilbage (format c)
Hilsen Carsten
Avatar billede nephilim Nybegynder
03. november 2003 - 20:24 #15
fromsej> jeg har ikke filen endnu ;-)
Avatar billede nephilim Nybegynder
03. november 2003 - 20:26 #16
alsingeren>> hvis du ikke har smidt filen væk, så send den til
mortenbk (REMOVEME)@ hotmail . com
uden mellemrum og (REMOVEME)
Avatar billede alsingeren Nybegynder
03. november 2003 - 20:30 #17
Hvem skal jeg sende ovenstående til?
Hvad jeg har kunnet finde ud af, så skulle det være en dialer.
Avatar billede alsingeren Nybegynder
03. november 2003 - 20:30 #18
er på vej om 3 min.
Avatar billede fromsej Praktikant
03. november 2003 - 20:34 #19
Kan du starte op i fejlsikker?
Hvis du kan, så åbn Win.ini og slet de linier der refererer til:
load=C:\OPLIMIT\OCRAWARE.EXE
run=C:\WINDOWS\svcpack.exe
Avatar billede alsingeren Nybegynder
03. november 2003 - 20:42 #20
vender lige tilbage om en lille time ;o)
Avatar billede aovergaard Nybegynder
03. november 2003 - 20:56 #21
ok, vi venter spændt *S*
Avatar billede nephilim Nybegynder
03. november 2003 - 21:32 #22
Jeg har ikke fået meget ud af filen, har prøvet at disassemble og se på den i en hexeditor. Dog har jeg fået en adresse ud af filen, http://207.17.53.244, følgende er fra en connection til den adresse:
------------------------------------------
nephilim@Sleipner: ~: telnet 207.17.53.244 80
Trying 207.17.53.244...
Connected to 207.17.53.244.
Escape character is '^]'.
GET / HTTP 1.0

HTTP/1.0 200 OK
server: continuity/mk3 mod5 (3v1l l33t)
content-type: text/html
last-modified: Wed, 06 Nov 2002 20:35:06 GMT
content-length: 26


cfarm _default/_default

Connection closed by foreign host.
------------------------------------------
Ved ikke hvad filen gør, men det at der står 3v1l l33t, eller Evil Leet, gør måske at jeg ikke ville have lyst til at køre den.
Avatar billede alsingeren Nybegynder
03. november 2003 - 21:36 #23
Så er vi klar igen.
Vi har slettet de 2 linier i win.ini, men intet lykkes :o(
Kommer stadig væk med at explorer.exe har lavet en ulovlig handling??
Kan man evt kopiere explorer.exe fra en anden maskine?
Avatar billede fromsej Praktikant
03. november 2003 - 21:45 #24
Ja, det burde du kunne.
Hvis i kan komme i ren DOS, så prøv at skrive scanreg /restore og vælg den ældste restore fil.
Avatar billede alsingeren Nybegynder
03. november 2003 - 21:48 #25
Vi prøver lige..
Avatar billede alsingeren Nybegynder
03. november 2003 - 21:58 #26
Vi har lige afprøvet ovenstående, desværre med samme resultat.
Avatar billede fromsej Praktikant
03. november 2003 - 22:00 #27
Så må der drastiske metoder til.
Boot op på en diskette, og installer windows98 oveni den gamle installation.
Avatar billede alsingeren Nybegynder
03. november 2003 - 22:03 #28
Dette har vi gjort, resultatet er at vi ikke er kommet videre
Avatar billede aovergaard Nybegynder
03. november 2003 - 22:08 #29
Det er godt nok underligt det her. Der er virkelig kun fjernet alt snavs fra den computer, og  den burde nu spinde som en kat.
Avatar billede alsingeren Nybegynder
03. november 2003 - 22:11 #30
Vi har fulgt "brugsanvisningen" slavisk, desværre er vi på bar bund, så at sige
Avatar billede aovergaard Nybegynder
03. november 2003 - 22:12 #31
Vi sætter lige tænkeren igang.
Avatar billede alsingeren Nybegynder
03. november 2003 - 22:13 #32
Vi prøver at kopiere explorer.exe fra en anden maskine, det er snart det eneste vi ikke har afprøvet. Håber på at miraklernes tid ikke er ovre ;o)
Avatar billede aovergaard Nybegynder
03. november 2003 - 22:17 #33
http://www.it-service.sdu.dk/vis.php?side=84 Her kan du hente en helt ren og ny IE 6 sp1
Avatar billede alsingeren Nybegynder
03. november 2003 - 23:06 #34
Vi har prøvet at kopiere explorer.exe fra en anden maskine, uden held.
IE 6 sp1 har vi liggende på en cd, men den kan jo ikke installeres fra dos?
Håber i har en løsning.
Avatar billede aovergaard Nybegynder
03. november 2003 - 23:10 #35
Og i kan slet ikke komme ind på computeren udover fra dos?
Avatar billede aovergaard Nybegynder
03. november 2003 - 23:14 #36
http://www.bu.edu/pcsc/internetaccess/winsock2fix.html

Der er et spinkelt håb her. Prøv at hente denne fra en anden computer. Kopier den til skrivebordet på denne "dårlige" computer. Kør fixet.

Vi krydser fingrer. Noget er gået helt galt med det Windows system. Vi forstår det ikke, for der er virkelig ikke fjernet noget som skulle give jer disse problemer.
Avatar billede alsingeren Nybegynder
03. november 2003 - 23:15 #37
vi kommer ind på "skrivebords billedet" og så popper der en alert op med at explorer.exe har lavet en.... hvorefter vi intet kan gøre
Avatar billede fromsej Praktikant
03. november 2003 - 23:18 #38
I kan i fejlsikret, så prøv derfra.
Tjek også lige om det er noget så dumt som en driver der driller, se i enhedshåndtering at der ikke er nogle gule udråbstegn.
Avatar billede alsingeren Nybegynder
03. november 2003 - 23:24 #39
vi kommer ind på "skrivebords billedet" og så popper der en alert op med at explorer.exe har lavet en.... hvorefter vi intet kan gøre.
Det samme sker i fejlsikret tilstand.
Avatar billede fromsej Praktikant
03. november 2003 - 23:26 #40
Jeg har også nærstuderet den logfil, der er ikke fjernet noget som helst der kan forårsage en fejl i Explorer.exe.

Øv, jeg troede i kunne komme ind i fejlsikret, så er det helt ærligt noget l.rt det her.
Avatar billede alsingeren Nybegynder
03. november 2003 - 23:33 #41
Der er nok ikke meget at gøre.
Kollegaen køber XP imorgen da han i nær fremtid bliver "tvunget" til det pga. regnskabsprogrammer og lønkørsels programmer som fremtidig baseres på "xp standarden"
Vi takker ihvertefald mange gange for den hjælp som i har ydet.
Hvem skal jeg sende pointene til?
Avatar billede fromsej Praktikant
03. november 2003 - 23:35 #42
nephilim og Aovergaard bør have de point, nok med en overvægt til Aovergaard.
Ja, det er rigtig surt, men lige nu kan jeg ikke komme op med noget bedre end Format C:
Avatar billede aovergaard Nybegynder
03. november 2003 - 23:45 #43
Det er frygtelig surt det her. Jeg sidder og tyder disse logfiler flere gange om dagen i vores eget forum, og har faktisk ikke været udsat for lige netop det her før. Der må være sket en brist i hans styresystem på et tidspunkt, og som så nu under rensningen kommer frem i lyset. Der er nok desværre ikke andet at gøre lige nu end format C: og når han så alligevel skal have Xp.
Avatar billede nephilim Nybegynder
04. november 2003 - 00:46 #44
Giv point til aovergaard efter min mening, jeg har ikke rigtig hjulpet ud over at prøve at finde ud af hvad mscnt.exe gjorde. som en ekstra kommentar fandt jeg også det her da jeg legede med den.
RegConnectRegistry, hvilket jeg slog op gennem google med det her svar:
"The RegConnectRegistry function establishes a connection to a predefined registry key on another computer." Alt i alt tror jeg ikke den fil er meget venlig orienteret.
Avatar billede aovergaard Nybegynder
04. november 2003 - 01:24 #45
nephilim-> Nej der er ingen tvivl om at den ikke er god denne fil. Det tyder jo aldrig godt, når den ikke rigtig findes nogen steder. At den så også har noget i sig med noget tællerværk, ja det er jo ikke godt. Og nu har du så i tilgift fundet ud af, at der også er noget som henviser til en anden computer, ja det må da vist siges at lugte langt væk det der.
Avatar billede alsingeren Nybegynder
04. november 2003 - 09:37 #46
Ok. Jeg sender pointene til aovergaard.
Vi siger mange tak for hjælpen, det er dejligt at I er behjælpsomme.
Som jeg sagde til min kollega, du ligger som du selv har redt, meget af det snusk på din computer kommer ikke af sig selv, og efterfølgende fandt jeg ud af at han ikke nogensinde har kørt nogle sikkerheds opdateringer overhovedet, da det jo tager lang tid... Så er der jo ikke så maget at gøre ved det.
I har fået en 1. plads under mine foretrukne (spywarefri.dk)Keep on the good work;o)
Mojn fra Als
/Carsten
Avatar billede aovergaard Nybegynder
04. november 2003 - 13:36 #47
Takker for point;)

Og ja det er jo meget letsindigt gjort af din kollega. Mon ikke han har lært lidt af det nu *S*
Avatar billede fromsej Praktikant
04. november 2003 - 18:08 #48
Tak for roserne, vi håber du får glæde af os.

Mvh:
Fromsej/Team Spywarefri
Avatar billede alsingeren Nybegynder
05. november 2003 - 09:45 #49
Lige en tilføjelse anf filen mscnt.exe


filnavn: mscnt.exe
resultat: Denne fil er inficeret med Download.Trojan

Note fra udvikler:

mscnt.exe is non-repairable threat.  NAV with the latest beta definition detects this.  Please delete this file and replace it if neccessary.  Please follow the instruction at the end of this email message to install the latest beta definitions.



Symantec Security Response kan bekræfte, at den eller de fil(er), du har indsendt, er inficeret med en virus, orm eller trojansk hest. Vi har oprettet beta-virusdefinitioner, der registrerer truslen. Følg anvisningerne til sidst i denne e-mail for at installere de seneste beta-virusdefinitioner.
/Carsten
Avatar billede aovergaard Nybegynder
05. november 2003 - 14:42 #50
Vi takker mange gange for din oplysning. Godt i så sendte den afsted til Symantec. Nu skulle det jo så være muligt for eftertiden at få denne virus kvalt.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB