Min winXP logger mig af med det samme!

Prøv lige om du kan starte den normalt, når du IKKE har netkablet i ?

Har du antivirus program installeret ?
Har du Firewall program installeret ?
Er pc`en fuldt opdateret i windows?

Jeg har allerede taget netkablet ud. Og aftenen igår brugte jeg netop på at scanne systemet godt og grundtigt igennem.

Jeg slette vist en fil som Kaspersky bare renamede, men ellers lavede jeg intet om.


Er jeg desperat nu!??

og ja, den er fuldt windowsopdateret!

Når du er i login billedet, så prøv lige at trykke ctrl+alt+delete 2 gange og se om du så kan får lov til at logge på som administrator.
Det lyder til at fejlen ligger i din bruger profil, og du burde derfor kunne komme ind som administrator.

Tyder på en eller anden ting er blevet ændret, læs lige nedenstående godt igennem og udfør en Repair af Windows XP:

Hvis du har din XP cd og din Cd-Key klar, kan du lave en repair. Du mister ikke noget ved det.

1:Det første du skal gøre er at boote op på din Windows XP CD, husk at din bios skal stå til at være first bootdevice cdrom.

Når den har installeret nogle foreløbige filer skal du:

2: springe det første tilbud om repair i Consolemode over og fortsætte din installation (nyindstalation)

3: Nu kan du så vælge hvilket drev din nye installation skal ligge på og her er det gerne dit C drev.

4: Og nu fortæller den dig der er et styresystem på dette drev og om du vil slette det (L) eller du vil lave en repair (R)   
det er her du skal trykke på R.

5: Og du vil nu se, at den laver en helt ny installation, men den beholder alle dine nuværende indstillinger, dokumenter, programmer og skrivebordet udseende er også intakt, men nu skulle du gerne være sluppet af med dine fejl og mangler.

Jeg lavede ikke noget administrator-password da jeg installerede windows, men skriver jeg bare administrator kan jeg heller ikke logge ind!!

ctrl-alt-delete virkede heller ikke. Jeg påtænker at installlere windows på en af de andre diske og se hvad der sker!?

Iøvrigt hej til TonnyBrandt og tak for hjælpen igår. Den PC der nu er bøvl med er ironisk nok den jeg sad på igår som virkede helt perfekt!! Semi-skummelt!!

Udmærket ide !
Du kan bagedter gå ind og omdøbe c:\documents and settings\<brugernavn>
Så den ikke kan finde din profil, og du burde så kunne starte computeren op, og vil få tildelt et standard skrivebord. Du kan så efterfølgende hente de ting ovre i den gamle profil som du ønsker i den nye profil, såsom favoritter, skrivebord.

Øhm, jeg forsøgte reparations-tingen, men nu står den og installerer drivere og jeg skal komme efter dig! Er det meningen, og skal jeg sidde og fikse diverse drivere hvis det virker?

Ja, hvis reparationen ikke virker - hvilket jeg mistænker den for ikke at gøre - så prøver jeg at installere på F-drevet.

Jeg blev lige forstyrret af en telefon, så min kommentar gjaldt det at du ville installere xp på en anden disk.
Og velbekomme mht igår *s*

Men er dette en virus/noget en hacker kan have gjort? ...Jeg tror nemlig nok jeg ligger under for et hackerangreb fra en jeg spillede online fodboldmangerspil med.

Nej, det tror jeg ikke.

Det lyder som om at du har sagt ja til at den skal fjerne det den har fundet ved næste genstart, og der er så blevet lagt noget ind i reg.basen, der gør at den forsøger at scanne men logger dig ud igen.
Det er ikke første gang det er sket, men jeg har ingen bud på en løsning. Det er trial and error. (hvis det er fejlen)

Men forhåbentlig løser det sig med en repair, som du nu er igang med.

ja, jeg krydser fingre.

Mener du at det kan være fordi et scannerprogram fucker up fordi det ikke kan løse et eller andet problem? Eks. slette en fil?

er tilbage og kan se du er i gode hænder hos tonnybrandt ;)
Kaspersky har efter min opfattelse det problem, at den vil omdøbe nogle filer den ikke kan kende og den siger tillige at det IKKE er virus  -så hvorfor den vil rename dem ved jeg ikke?

Well det virkede med reparationen, men hold da op hvor blev opstarten langsom, og når man er inde i windows starter den et "windows installer..." vindue som bare bliver ved med at være der til jeg annulerer. Men alt dette er vel bare fordi jeg skal have ryddet op i starten - eks. med hijackthis?

Derudover ser det egentlig ud til at fungere meget godt...

50 points til haverslev og 10 til tonnybrandt!

Iøvrigt: Skal jeg nu til at hente winupdates igen, eller hvad?

I får altså også lige min hijackthis-log, hvis i gider se den igennem hurtigt. Jeg skal nok give jer nogle flere points på en eller anden måde hvis i vil ha' det, jeres hjælp er fantastisk!

Logfile of HijackThis v1.98.2
Scan saved at 21:00:03, on 26-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SOFTWIN\AntiVirus eXpert Professional\aqmon.exe
C:\Programmer\Softwin\AVX Live\avxlive.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\WinRAR\WinRAR.exe
C:\Documents and Settings\Rasmus Rønnike\Skrivebord\hijackthis\HijackThis.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Rasmus Rønnike\Application Data\Mozilla\Profiles\default\ezs1wdoz.slt\prefs.js)
O2 - BHO: (no name) - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: TChkBHO Class - {668389BD-09F6-4D0A-9066-EDD9CC2955BF} - C:\WINDOWS\system32\kkwje.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WyvernWorks Firewall] C:\Programmer\WyvernWorks\Firewall 2004\Firewall.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AntiVirus eXpert for ICQ.lnk = ?
O4 - Global Startup: AntiVirus eXpert for MSN Messenger.lnk = ?
O4 - Global Startup: AntiVirus eXpert for Net Meeting.lnk = ?
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.windupdates.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=638c04efabf4090ab4c5fc024154ef69cf9247c4e1075281a08feba11106d93954c17ee672280f19f68d33f6d9199b6b680ebc2a50847f30f0b8bb2a24ea33ea35f4:f992a2588cd01150ad693e854e5c9a60
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

Hvor går det bare stærkt. Der er snavs i den igen. du får lige en procedure om et par minutter.

Og du skal hente opdateringer igen, idet repair'en satte den tilnage til en xp uden servicepack.

tænkte nok at den skulle updates. Ah, ved ikke hvor stærkt det går, det var jo som sagt ikke denne PC du kiggede på igår! *g*

Afinstaller SpyBot (TeaTimer) i tilføj/fjern programmer.

Genstart i fejlsikret tilstand.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O2 - BHO: (no name) - {0519A9C9-064A-4cbc-BC47-D0EACD581477} - (no file)
O2 - BHO: (no name) - {465A59EC-20E5-4fca-A38A-E5EC3C480218} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: TChkBHO Class - {668389BD-09F6-4D0A-9066-EDD9CC2955BF} - C:\WINDOWS\system32\kkwje.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.windupdates.com
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=638c04efabf4090ab4c5fc024154ef69cf9247c4e1075281a08feba11106d93954c17ee672280f19f68d33f6d9199b6b680ebc2a50847f30f0b8bb2a24ea33ea35f4:f992a2588cd01150ad693e854e5c9a60

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\system32\kkwje.dll

Genstart normalt og kom med en ny log til kontrol

Efter den er ren må du installere spybot igen, men den vil forhindre at vi kan fjerne snavset, så derfor skal den lige væk indtil loggen er ren.

Nå nej, det var det da heller ikke *G*

Jeg har allerede slettet de der BHO'er hvor der stod (No file) ...håber det var korrekt?

Ja, det var det, men de vil sikkert vende tilbage igen, idet jeg før har oplevet at TeaTimer'en beskytter registryet og sætter tingene ind igen ved næste genstart.

Det er deror proceduren er som den er, hvor du først afinstallerer spybot og så fixer tingene i fejlsikret tilstand.

den der foo.mht ser sqda ikke rar ud? Er .mht ikke sådan noget der kører scripts gennem html?

Jeg fandt hverken nogen kkwje.dll eller foo.mht nogen steder på mine diske?

Da jeg startede op normalt lige inden jeg skulle lave den log jeg skulle poste her kom der et "reparerer messenger"-vindue op??? Hvad er den nu af? *g*

Computeren starter stadig ekstremt langsomt (der hvor der står "windows startes" hænger den helt vildt længe), har du noget bud på hvorfor?

Her er loggen:

Logfile of HijackThis v1.98.2
Scan saved at 21:40:22, on 26-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SOFTWIN\AntiVirus eXpert Professional\aqmon.exe
C:\Programmer\Softwin\AVX Live\avxlive.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\Rasmus Rønnike\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Rasmus Rønnike\Application Data\Mozilla\Profiles\default\ezs1wdoz.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AntiVirus eXpert for ICQ.lnk = ?
O4 - Global Startup: AntiVirus eXpert for MSN Messenger.lnk = ?
O4 - Global Startup: AntiVirus eXpert for Net Meeting.lnk = ?
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

LSA-shell (Export version) is trying to execute 'windows Kommandolinjefortolker', siger Kerio Firewall nu!!? Det lyder da underligt, især eftersom LSA-shell kommunikerede med en anden computer i beskeden før!??

(eller er jeg bare paranoid nu? *g*)

Så må du gerne installere servicepack's igen, samt spybot. spywareblaster og spywareguard. http://www.spywarefri.dk/pakken.htm

Loggen er ren.

Mht point, er det haverslev, der skal have dem alle, da han løste dit problem.

Loggen var blot en "service" *s*

windows update nærmest fryser pc'en, men nu prøver jeg....

Jeg kan jo ikke give haverslev points før han har lavet et svar!??

Windows update går melder om en fejl man ikke kan søge på i deres fejlsøgning. Jeg kan ikke opdatere. Kan det være min firewall?

Nu gjorde min PC det der der godt kan minde lidt om blaster-ormen, den siger at den lukker om 1 minut og tæller ned?? Imens jeg var igang med at forsøge at loade winupdate. (Jeg havde disablet min firewall, nok ikke så klogt?)

Mon ikke jeg bare skulle gemme mine dokumenter og formattere lortet, installere firewallen inden jeg går på nettet for at update windows  ...?

Det begynder fandeme at være strengt det her, er sikker på jeg har en hacker inde!

Du kan hente servicepack 2 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Hov jeg havde ikke set det med LSA-shell. Det er fodi en sasser eller blaster variant forsøger at angribe din pc, så du er ikke paranoid. Hent servicepacken og installer den så mens netstikket er ude af pc'en og sæt den først på nettet igen når den er installeret.

Nej, det var ikke så smart. Skriv
shutdown -a
i start | kør, og få så hentet servicepack'en og installeret den som beskrevet ovenfor.
Så renser vi den bagefter.

svchost.exe brugte 99% af min cpu, så jeg afsluttede den ....så gjorde den det igen, altså, den lukkede hvor den talte ned...

denne gang var firewall'en endda slået til...

Sæt firewall'en på igen og genstart. Se om du så ikke kan få hentet den servicepack.

Hov, nu har jeg præcis det samme som der var på den anden igår. 201 connections out og Kerio Firewall fryser nærmest.

Hvordan kan det være? Er det fordi man logger på i 40 sekunder uden firewall at den finder ind eller hvad?

Irriterende at man ikke kan lokalisere problemet.

(er igang med at hente service-pack 2) *s*

nå, i "hygger" jer nok, skulle jo lige se Drengene fra Angora osv.

Hygger er sq et stærkt ord. Troede lige jeg skulle surfe noget porno eller noget når nu kæresten var til julefrokost!! *g*

Øhm? Hvis jeg prøver at logge på windows på den pågældende maskine nu er der bare sort skærm med en musemarkør i midten når jeg har logget på!!??

I kan sige hvad I vil, men der må være nogen der laver disse ting på mine pc'er?

Ja, ok, nu kom den, den har stået med sort skærm i 5 minutter, ellers!!

Jeg scanner lige for blasterworm med symantecs "fix-blast.exe" ...det er vel meget klogt, ikke?

Har du fået lagt SP2 på igen?

Nej, er ved at hente SP2 på denne computer hvorefter jeg skal brænde den og installere den på den anden ...var planen! *s*

tror du skal lave en ny HTJ log også, for at få det hele væk INDEN du installere SP2

..helt ærligt? Tror I ikke det ville være meget fornuftigt at bruge et par timer på at formattere?

Windows starter helt vildt langsomt, reg-basen er formentlig noget rod, vira kan gemme sig alle mulige steder...

Desuden bliver PC'en jo så dejligt frisk af en formation?

men ok, nu prøver jeg lige med Hijack -> SP2 ... ellers må man jo lige finde ud af hvordan det lige er man gemmer mails, netbank, drivere osv...

OK, ..jeg havde denne log:

Logfile of HijackThis v1.98.2
Scan saved at 23:21:05, on 26-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Rasmus Rønnike\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Rasmus Rønnike\Application Data\Mozilla\Profiles\default\ezs1wdoz.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Win32 FireWire Driver] CTHELPER32.EXE
O4 - HKLM\..\RunServices: [Win32 FireWire Driver] CTHELPER32.EXE
O4 - HKLM\..\RunOnce: [Win32 FireWire Driver] CTHELPER32.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win32 FireWire Driver] CTHELPER32.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AntiVirus eXpert for ICQ.lnk = ?
O4 - Global Startup: AntiVirus eXpert for MSN Messenger.lnk = ?
O4 - Global Startup: AntiVirus eXpert for Net Meeting.lnk = ?
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

......

Rettede i den så den kom til at se sådan her ud:

Logfile of HijackThis v1.98.2
Scan saved at 23:22:12, on 26-11-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Rasmus Rønnike\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Rasmus Rønnike\Application Data\Mozilla\Profiles\default\ezs1wdoz.slt\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AntiVirus eXpert for ICQ.lnk = ?
O4 - Global Startup: AntiVirus eXpert for MSN Messenger.lnk = ?
O4 - Global Startup: AntiVirus eXpert for Net Meeting.lnk = ?
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

....

Nu installerer jeg SP2 ...netkablet er ude.

Men hvis jeg nu formatterer, installerer SP2 og Kerio Firewall og derefter går på nettet, så må jeg sqda være ret sikker??

ja, men du nævner at du har brænder, så kan du jo lave en win XP SP2 cd - altså hvor SP2 er incl. og du installere de hele på en gang. Denne er nemt at gå til:
http://www.dailyrush.dk/features/guides/871/

Du kan også bruge denne: (engelsk artikel)
http://unattended.msfn.org/

er det ikke ligeså godt bare at installere winXP og derefter SP2?

jo, men det tager længere tid - det er op til dig selv, bare et forslag ;)

Jeg måtte lige bruge lidt tid på Spywarefri, så jeg er først ved at rydde mailboksen nu.

Det er underordnet om du gør det ene eller andet men den må ikke have netforbindelse indtil du har fået installeret sp2 samt fået slået firewall til.
Og dit første besøg på nettet skal være til windowsupdate.

Man kan simpelthen ikke sætte en windows 2000/xp computer på nettet uden firewall uden at få den inficeret øjeblikkeligt. Så mange inficerede computere er der på nettet at der altid er en igang med at forsøge at ramme præcis din ipaddresse.

Jeg har nu installeret SP2. Min log ser derefter således ud:

Logfile of HijackThis v1.98.2
Scan saved at 00:02:03, on 27-11-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmer\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\SOFTWIN\AntiVirus eXpert Professional\aqmon.exe
C:\Programmer\Softwin\AVX Live\avxlive.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Rasmus Rønnike\Skrivebord\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Rasmus Rønnike\Application Data\Mozilla\Profiles\default\ezs1wdoz.slt\prefs.js)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Office mouse\1.1\moffice.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmer\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmer\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmer\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: AntiVirus eXpert for ICQ.lnk = ?
O4 - Global Startup: AntiVirus eXpert for MSN Messenger.lnk = ?
O4 - Global Startup: AntiVirus eXpert for Net Meeting.lnk = ?
O4 - Global Startup: AntiVirus eXpert Live!.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab



.....

Der kommer konstant en ?-boks fra Kerio der fortæller mig at system32\wbem\wmiprvse.exe (WMI, hedder processen) er blevet modified, og den spørger mig om jeg vil køre programmet. (Jeg svarer nej og spekulerer over hvad jeg skal gøre ved problemet)


"Man kan simpelthen ikke sætte en windows 2000/xp computer på nettet uden firewall uden at få den inficeret øjeblikkeligt. Så mange inficerede computere er der på nettet at der altid er en igang med at forsøge at ramme præcis din ipaddresse." ...jamen, er det ikke for latterligt??

>Der kommer konstant en ?-boks fra Kerio der fortæller mig at system32\wbem\wmiprvse.exe (WMI, hedder processen) er blevet modified, og den spørger mig om jeg vil køre programmet. (Jeg svarer nej og spekulerer over hvad jeg skal gøre ved problemet)

Du skal svare ja og sige at den skal huske at den godt må køre. Det er en ægte windows proces, som skal have lov at køre.
Der findes en med samme navn, men den lægger sig i system32, og smider en eller flere linier i HiJackThis loggen.

Mht, det sidste "...jamen, er det ikke for latterligt??", håber jeg da ikke du mener at min påstand er latterlig *s*
Jeg kan sq ikke gøre for at folk ikke beskytter deres computere. Jeg fortæller blot hvordan tingenes tilstand er.

>>Der findes en med samme navn, men den lægger sig i system32, og smider en eller flere linier i HiJackThis loggen.

Skulle have set således ud:

Der findes en trojaner med samme navn, men den lægger sig i system32, og smider en eller flere linier i HiJackThis loggen.

nej nej, mente ikke at du var latterlig, mente at det er sygt at man ikke kan knalde en "ren" pc på internettet. *s*

Men den fil WMI - den ligger jo også i system32 ...dog i en mappe.

(?)

Ser PC'en ellers ren ud?

Ups, sorry. Ja loggen er ren og fin.

Den ægte ligger i folderen wbem i system32, mens virus'en lægger sig direkte i system32.

Og den ægte startes af en anden proves med bestemte mellemrum (kan ikke præcis huske tidsintervallet), mens virus'en er aktiv hele tiden.

Ok, nu ligner det noget. Den rebooter også ok efter at jeg geninstallerede driverne til lydkortet.

Tror nu alligevel snart jeg vil formattere. Tak for hjælpen!! *s*

Og lav nu et svar så jeg kan give nogle points??

Du må lige vente på at haverslev lægger et svar ..

Som sagt var det ham som løste problemet som dette spørgsmål handlede om, så han skal også have pointene :)

Ja, han får dem, men egentlig burde I jo dele, for du løste også en del undervejs.

Men det bestemmer du jo bare *s*

Det er jo det jeg gør *s*

quite > jeg vil dele med tonnybrandt.  (tonnybrandt læg venligst et svar)
jeg har desværre ikke haft tid, til at være helt så aktiv i tråden her, så det er kun rimeligt at vi deler. ;)

Takker for tilbuddet til jer begge, men der kommer ikke et svar fra mig :)