Kør Hijackthis.exe fra en mappe som du opretter til formålet: Klik på "Do a systemscan and save a logfile" (det kan være at du bliver ført direkte ind til hovedprogrammet - så klikker du bare Scan - save log) Kopiér indholdet af denne logfil herind i denne tråd. Jeg vil fraråde at du selv begynder at fixe noget.
Klik start | indstillinger | kontrolpanel | skærm. Klik fanebladet skrivebord. Klik knappen tilpas skrivebordet. Klik fanebladet web. Hvis der står nogen websider i den hvide boks, så marker dem og klik slet. Klik ok Vælg nu en anden baggrund og klik anvend og ok.
Og herefter bør du følge ejvindh's råd da der sikkert er snavs på maskinen der har bragt denne infektion ind.
Logfile of HijackThis v1.99.1 Scan saved at 11:19:02, on 31-03-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
ejvindh > Det regnede jeg da også med. Må jeg forslå at du beder om at få en af snavsede filer, f.eks C:\WINDOWS\Dct.exe testet på jotti, så vi kan få et navn på infektionen. De gange jeg har set den før har det været log på log indtil vi tilsidst fik kvalt den.
Denne løsning på desktophijackingen har jeg fundet allerede. Men desværre kan jeg ikke slette noget under "Web" i desktopindstillingerne.. Der står "Min aktuelle startside" uden flueben - men jeg kan ikke slette den...
Måske skyldes det, at jeg er på et landsdækkende netværk og IKKE administrator. Dog kan det lade sig gøre at logge ind som admin.. det prøver jeg lige..
Har taget det, der synes at være resultatet af scanningen:
Service load: 0% 100%
File: Dct.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: -
AntiVir TR/Click.Spywad.B.2 Avast Win32:Spyda-B AVG Antivirus Clicker.7.T BitDefender Trojan.Clicker.Spywad.B ClamAV No viruses found Dr.Web Trojan.Click.289 F-Prot Antivirus unknown virus (probable variant) Fortinet W32/Spywad.B-tr Kaspersky Anti-Virus Trojan-Clicker.Win32.Spywad.b mks_vir Trojan.Clicker.Spywad.B NOD32 Win32/TrojanClicker.Spywad.B Norman Virus Control Sandbox: W32/Malware; [ General information ]
* Creating several executable files on hard-drive. * File length: 9729 bytes.
Der er lidt problemer med at åbne eksperten.dk... Sitet er ofte ikke tilgængeligt. Jeg håber, at jeg kan komme på, så mit problem kan blive løst.
Om lidt over en time skal jeg til personalemøde resten af eftermiddagen. Jeg følger med indtil da. Men så kan jeg desværre først være tilbage sent i aften.
Jeg håber, vi får løst problemet. De er da ikke rigtig kloge i det firma - altså SmartSecurity... Er det ikke ulovligt?
Jeg er sikker på at ejvindh er i fuld sving med at lede efter den nemmeste måde at fjerne infektionen på, og jeg leder da også. Vi vil gerne spare dig for en lang og opslidende proces med at infektionen autogenerer sig, og derfor skal vi have ram på kilden til infektionen i første hug.
Men det behøver ikke være lige nu, hvis det er tidskrævende. Vi kan bare fortsætte i morgen - hvis altså ikke infektionen er for farlig at have liggende...
Theofilos: Ja, vi afstemte lige vores forslag. Jeg tror at der findes 2 mulige løsninger på at ordne problemet. Men jeg synes vi starter med Tonnybrandt's strategi, idet det er den simpleste. Hvis den ikke virker, så kan vi gå videre til det forslag, jeg selv fandt på.
Hvis ikke du kan nå hele proceduren nu, synes jeg du skal vente -- da virussen hele tiden generer nye filer. Derfor er det en god ide at få taget hele proceduren i ét hug.
Det er helt i orden at vente til du har bedre tid :-) Jeg er her nok ikke selv i aften, men det kan være Tonnybrandt er det, og så kan han tage over. Og ellers samler vi i hvert fald op i morgen.
Alt i orden. Virus-scanningen bliver mere effektiv, hvis den bliver kørt fra "Fejlsikret tilstand med Netværksforbindelse". Det kan du gøre, når du fortsætter i morgen.
Så har jeg lige et øjeblik igen herhjemme og er begyndt scanningerne.
Men desværre kan jeg ikke opdatere ad-aware... Muligvis pga. netværksindstillingerne. Jeg har ikke firewall på min egen PC, men netværksadministratoren er meget forsigtig. Findes der et sted, hvor jeg kan hente den nyeste udgave af Ad-aware, som indeholder den senest opdaterede antispyware-fil?
53 filer er her fundet - og her står der at al virus er blevet fjernet?!
Alligevel er det interessant, at der i loggen ud for de fleste filer står: "Status: no disinfected".
Nu mangler jeg bare at køre Ad-aware... Jeg har fundet de opdaterede filer, som kan udzippes i programmets hoveddirectory - så det varer nok ikke længe, før jeg kan paste loggen til jer.
Her er så log-filen... Hvad skal jeg foretage mig nu? Udbedre filerne?
Ad-Aware SE Build 1.05 Logfile Created on:31. marts 2005 22:07:23 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R35 31.03.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Alexa(TAC index:5):3 total references MRU List(TAC index:0):31 total references Tracking Cookie(TAC index:3):21 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file
Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects
31-03-2005 22:07:23 - Scan started. (Full System Scan)
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\nico mak computing\winzip\filemenu Description : winzip recently used archives
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer
MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\jasc\paint shop pro 7\recent file list Description : list of recently used files in jasc paint shop pro
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput
MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\jasc\paint shop pro 7\general Description : last save as directory used in jasc paint shop pro
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\frontpage\explorer\frontpage explorer\recent web list Description : list of recently used webs in microsoft frontpage
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput
MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\frontpage\explorer\frontpage explorer\recent file list Description : list of recently used files in microsoft frontpage
MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X
MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk
MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk
MRU List Object Recognized! Location: : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\windows media\wmsdk\general Description : windows media sdk
MRU List Object Recognized! Location: : C:\Documents and Settings\Administrator\recent Description : list of recently opened documents
Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 31
Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" Rootkey : HKEY_USERS Object : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}
Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" Rootkey : HKEY_USERS Object : S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}
Alexa Object Recognized! Type : RegValue Data : Category : Data Miner Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" Rootkey : HKEY_USERS Object : S-1-5-21-2014835873-3978503659-2079644369-500\software\microsoft\internet explorer\extensions\cmdmapping Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}
Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 3 Objects found so far: 34
Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 34
Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@adtech[2].txt Category : Data Miner Comment : Hits:3 Value : Cookie:administrator@adtech.de/ Expires : 07-11-2014 11:24:32 LastSync : Hits:3 UseCount : 0 Hits : 3
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@instadia[1].txt Category : Data Miner Comment : Hits:1 Value : Cookie:administrator@instadia.net/ Expires : 04-07-2029 02:00:00 LastSync : Hits:1 UseCount : 0 Hits : 1
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@cgi-bin[1].txt Category : Data Miner Comment : Hits:4 Value : Cookie:administrator@imrworldwide.com/cgi-bin Expires : 19-01-2009 01:00:00 LastSync : Hits:4 UseCount : 0 Hits : 4
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@servedby.advertising[1].txt Category : Data Miner Comment : Hits:58 Value : Cookie:administrator@servedby.advertising.com/ Expires : 10-12-2004 15:28:08 LastSync : Hits:58 UseCount : 0 Hits : 58
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@advertising[1].txt Category : Data Miner Comment : Hits:46 Value : Cookie:administrator@advertising.com/ Expires : 09-11-2009 15:28:08 LastSync : Hits:46 UseCount : 0 Hits : 46
Tracking Cookie Object Recognized! Type : IECache Entry Data : administrator@mediaplex[1].txt Category : Data Miner Comment : Hits:1 Value : Cookie:administrator@mediaplex.com/ Expires : 22-06-2009 02:00:00 LastSync : Hits:1 UseCount : 0 Hits : 1
Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 6 Objects found so far: 40
Deep scanning and examining files (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@ads.pointroll[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@ads.pointroll[2].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@ads.tripod.lycos[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@ads.tripod.lycos[2].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@instadia[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@instadia[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@kelkoo[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@kelkoo[2].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@serving-sys[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@serving-sys[2].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@trafic[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@trafic[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@tripod[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@tripod[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : nbo@versiontracker[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\nbo\Cookies\nbo@versiontracker[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@advertising[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@advertising[2].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@atdmt[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@atdmt[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@cgi-bin[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@cgi-bin[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@doubleclick[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@doubleclick[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@instadia[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@instadia[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@mediaplex[1].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@mediaplex[1].txt
Tracking Cookie Object Recognized! Type : IECache Entry Data : shes@servedby.advertising[2].txt Category : Data Miner Comment : Value : C:\Documents and Settings\shes\Cookies\shes@servedby.advertising[2].txt
Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 55
Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 55
22:19:45 Scan Complete
Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:12:21.454 Objects scanned:192189 Objects identified:24 Objects ignored:0 New critical objects:24
Jeg er lige kort online, og derfor et hurtigt svar. AdAware skal have lov at slette alt hvad den finder. Herefter skal du genstarte computeren (til normal tilstand), og lave en ny HJT-log, som du lægger herind. Så kan vi se om vi har fået det hele med, eller om der skal noget manuelt arbejde til også. Jeg får dog ikke selv mulighed for at kigge det i gennem i aften. Men det kan jo være tonnybrandt kigger forbi. Ellers bliver det i morgen :-)
Skrivebordet er stadig brand-rødt med en sort firkant: "DANGER: SPYWARE .. etc."
Her er HJT-loggen efter opstart i normaltilstand:
Logfile of HijackThis v1.99.1 Scan saved at 22:39:04, on 31-03-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Under såvel scanning som sidste HJT-log har jeg logget ind i Windows som "Administrator" og ikke under mit normale log-in.
Det burde jo ikke gøre nogen forskel for scanningerne.
Men alligevel, så er her HJT-loggen, som er udført, mens jeg har været logget ind som bruger - og ikke admin... Om der er den store forskel har jeg svært ved at tyde... Det hele er meget forvirrende for mig:
Logfile of HijackThis v1.99.1 Scan saved at 22:56:11, on 31-03-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Nu har jeg fulgt dine anvisninger. HJT-loggen ser sådan ud efter genstart i normaltilstand:
Logfile of HijackThis v1.99.1 Scan saved at 23:36:24, on 31-03-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Så da da... Jeg kunne ikke logge på med mit normale login med fejlsikret tilstand!
Her er log-filen, da jeg endelig fik mig logget på igen (ikke fejlsikret, men med deaktiveret systemgendannelse):
Logfile of HijackThis v1.99.1 Scan saved at 00:41:08, on 01-04-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Efter endnu en genstart i safe-mode - og atter genstart i normal tilstand, ser HJT-loggen sådan ud... (mit skrivebord er stadig "besat"!):
Logfile of HijackThis v1.99.1 Scan saved at 00:50:12, on 01-04-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Jeg håber, problemet kan fjerne uden en formatering af harddisken... Det er meget besværligt på denne netværks-PC. Jeg skal benytte en bestemt Image-CD og der er altid en masse bøvl med netværksprinter, drivere etc... Som regel afsætter jeg et par dage til dette, hvis det er nødvendigt.
Men tak for alt, hvad I har gjort i dag. Det er jeg meget glad for - og jeg håber, I har tålmodighed til at prøve videre i morgen.
Tja... jeg blev nu ved lidt endnu - og fandt ud af, at filen c:\windows\desktop.html er den, der vises på skrivebordet. Jeg redigerede html-koden til tomt indhold - og nu er den næsten gennemsigtig.
Det er dog ikke indholdet af mappen "Skrivebord" der vises på skrivebordet (indholdet i mappen er intakt!)
Desværre er sikkerhedsknappen i indstillingerne for skærm-tilpas-web fjernet... Jeg kan IKKE slå webskrivebordet fra!!!
Desuden kan jeg som sagt ikke bruge højreklik...
Men jeg har en anelse om, at der kan være tale om Bube.d Aka W32-Beavis - virus... Tror I det? Såvidt jeg kan læse mig til - er det kun Kaspersky-antivirusprogrammet der kan hjælpe her...(?)
Jeg er tilbage, og kigger nu den sidste HJT-log igennem. Jeg kan sige allerede nu, at den ikke er ren. Angående dine bekymringer omkring formatering, så kan jeg dog sige, at det skulle undre mig meget, hvis det bliver enden af det. :-)
Det har allerede hjulpet meget. Vi prøver nu en lidt anden strategi.
Problemet er, at den virus du har hele tiden kreerer nye virus-filer, for at holde sig i gang. Derfor foreslår jeg denne procedure. Det er muligvis lidt et overkill med virus-scanningen igen, men nu skal vi snart have en ende på det her :-)
Kør Hijackthis, vælg "Open Misc tools section"-"Open process manager". Find de processer, som har et navn efter følgende mønster (*** står for 3 tilfældige tegn) C:\windows\***.exe c:\windows\system32\***.exe C:\WINDOWS\Aps.exe ----> Denne fil lå der da du kørte sidste HJT-scan. Men der kan være flere og andre denne gang.
Marker dem, og klik på "Kill process"
Klik herefter på "Back" i nederste højre hjørne af Hijackthis-vinduet, scan, sæt flueben ved alle de O4-linier, der peger på en fil på 3 bogstaver, og som ligger i enten C:\windows eller c:\windows\system32. Klik på fix checked. Da du lavede den sidste log, drejede det sig om (men der kan være kommet flere til siden):
Slet herefter de tilsvarende filer fra harddisken (nogle af dem er muligvis allerede blevet slettet af Hijackthis).
Sletning af filer: Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis. Fjern flueben ved "Skjul beskyttede operativsystemfiler". Fjern flueben ved "Skjul filtypenavne for kendte filtyper". Sæt prik i "Vis skjulte filer og mapper".
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter. Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. Sæt prik i følgende: All local drives og Scan all files
Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv. Send en ny log ind til check.
Imens så kigger jeg lidt på dit skrivebords-problem :-)
I øvrigt: Det er vigtigt når du kører proceduren at du er logget ind som den bruger, der har problemet. Hvis du ikke kan logge ind som sådan, så prøv først at logge ind som administrator, og så tildele brugeren med problemer administrator-rettigheder, og se om det herefter er muligt at koble på som "problem"-brugeren.
Du må ikke slette alle ***.exe-filer i de mapper. Jeg har godt nok ikke selv lige en ***.exe fil i min windows-mappe, men det kunne godt være at der var enkelte af de filer i din mappe som er legal. Hellere slette én for lidt end én for mange.
Du må slette alle de filer, som du er blevet bedt om at fixe med HJT i denne tråd. Husk også at kigge i c:\windows\System32
Du skal ikke fjerne noget, der ikke er har været i en HJT-log. Når jeg siger hellere én for lidt end én for meget, så er det fordi at sletningen af filerne primært er oprydning. Det vigtigste er, at vi får dem fjernet fra HJT-loggen -- idet det er disse filer, der er AKTIVE.
Det er hårdt at trippletjekke!! Det tager altså tid..
Nå, men der ligger forøvrigt en Tse.html samt Gou.html, Gqo.html, Hvb.html, Hui.html etc. etc, som alle også indeholder den muterede desktopside... Skal jeg slette disse html-mutant-filer også?
Den burde kunne køres fra Windows-fejlsikret. Det kan være, at dit hidtidige arbejde har lavet så meget rav i den, at Windows trænger til at blive genstartet. Lad os derfor springe mwav-scanningen over i første omgang. Så du genstarter nu til normal tilstand, og laver en ny HJT-log, som du lægger herind.
Måske går det tilbage til sin mutant-tilstand efter et par gange genstart..
Her er ihvertilfælde HJT-loggen efter genstart i normal tilstand:
Logfile of HijackThis v1.99.1 Scan saved at 13:02:30, on 01-04-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Så blev loggen stort set ren. Så lad os arbejde lidt på dit synlige problem:
Først sikkerheds-kopiere registreringen: Klik på Start-Kør. Skriv Regedit og klik ok Klik på filer-eksporter. I det nye vindue, nederst ved "Eksporter område" vælger du alt. Gem så en fil, et sted hvor du kan finde den igen.
Kopier det mellem linierne her nedenfor ind i notepad, og gem det et sted hvor du kan finde det som anti_ss.reg
Luk notepad. Dobbeltklik på anti_ss.reg og accepter at få tilføjet værdierne til din registreringsdatabase.
Genstart, og meld tilbage om det har hjulpet.
Du kan også slette disse, hvis de findes: C:\WINDOWS\secure.html c:\windows\desktop.html
; --------------------------------------------------------- Windows Registry Editor Version 5.00
Så var det godt, at du gjorde det. Jeg var kommet til at lave koden efter en engelsk XP-version :-) Rigtig kode her (du skal have alt under den stiplede linie med):
; --------------------------------------------------------- DK-xp Windows Registry Editor Version 5.00
Okay - nu kom mit gamle Skrivebord endelig tilbage - ihvertilfælde indtil videre.
Men højreklik-funktionen virker stadig endnu ikke - og det samme gør filer-egenskab i filvisning...
Hvis jeg vil se, hvor stor en fil er eller hvornår den er oprettet, så bliver jeg nødt til at ændre i detaljevisningen - istedet for at højreklikke og vælge egenskaber, for det kan jeg ikke...
Hvad nu? Ud over manglende mus- og filegenskabfunktioner - tror du så vi har fået ram på synderen derinde et sted?
Jeg er ret sikker på, at selve virussen er forsvundet. Men vi mangler stadig at få rettet op på det ravage den har lavet. :-)
Prøv at gå ind i regedit igen. I venstre side navigerer du til følgende nøgle: HKEY_CURRENT_USER\SOftware\Microsoft\Internet Explorer\Desktop\Components
Højreklik på Components-nøglen, og vælg eksporter. Denne gang skal du vælge "Markeret gren". Find den reg-fil du har lavet herved, åben den med notepad, og læg indholdet herind.
Så skal jeg også lige høre: Når du går ind i Egenskaber for skærm->Skrivebord->TilpasSkrivebord->Web
Hvilke entries finder du så her? Og hvordan er de markeret?
Prøv denne reg-fil hernedenfor. Ligesom sidst: Kopier ind i notepad, og gem som anti_ss2.reg. Dobbeltklik på programmet, og accepter at filen flettes. Genstart, og se om det har hjulpet.
----------------------------------------------------------- Windows Registry Editor Version 5.00
Desværre kan jeg stadig hverken ændre fast skrivebordstema eller under Tilpas-Web slette "Min standardside". Der er ikke kommet en entry for "Sikkerhed"...
Højreklik virker stadig ikke på skrivebordet og for filer i directories... Filegenskaber er heller ikke tilgængelige via Filer-Egenskaber.
OK, jeg begynder at løbe tør for ideer nu. Men her er et par forslag:
Lav en reg-fil ligesom tidligere, med nedenstående kode (mellem linierne). Flet koden, genstart, og se om det har hjulpet.
--------------------------------- REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoActiveDesktop"=dword:00000001 --------------------------------- Hvis dét ikke virker så prøv dette: Find din installations-cdrom frem. Hvis du ikke har en decideret installations-cdrom så prøv om du på harddisken har en mappe, der hedder i386. Hvis ja, så kan du nedenfor bruge den, når du skal navigere frem til en erstatning af Explorer.exe-filen. Hvis nej, så prøv om du på en image-cdrom kan finde en fil, der hedder explorer.exe og brug den nedenfor i stedet.
Lav en sikkerhedskopi af c:\windows\explorer, som du lægger et sted du kan huske. Tast ctrl-alt-delete, klik på jobliste-processer, find Explorer.exe, højreklik på den og vælg afslut process Så forsvinder indholdet af skrivebordet og startmenuen. Klik på filer-nyt job. Skriv CMD i feltet og klik OK skriv D: <return> (hvis dit cdrom-drev hedder D -- ellers det tilsvarende drev-bogstav) skriv cd i386 <return> Skriv copy explorer.ex_ c:\windows\explorer.exe <return> Så vil du blive spurgt om du vil overskrive filen, og det bekræfter du. Skriv exit <return> Inde i Jobliste, vælger du igen filer-nyt job. Skriv c:\windows\explorer.exe og klik OK Genstart og prøv om det har virket. Meld tilbage.
Nu har jeg foretaget en udskiftning af explorer.exe og stadig uden resultat.
Synes du, jeg skulle åbne et nyt spørgsmål med titlen: "Kan ikke højreklikke på skrivebord og på filer i mapper?"
Du har virkelig gjort et enormt arbejde - og jeg mener helt klart, at du har fortjent point'ene. Men hvis du synes Tonybrandt skal have nogle af dem, så gør vi det.
Jeg er desværre nødt til at koble af nu, og det bliver nok begrænset hvor meget jeg kan bidrage med over weekenden. Personligt synes jeg ikke du skal oprette et nyt spørgsmål, idet jeg synes problemet skal løses under denne tråd. Prøv at vente lidt og se om Tonnybrandt måske har nogle forslag i ærmet.
Hvis du opretter et nyt spørgsmål (og jeg skal da ikke udelukke at du herved ville kunne få løst dit problem hurtigere), så skal du selv tage nogle af dine point tilbage, idet man ikke må udlove mere end 200 point pr. problem.
Lige meget hvad du vælger, mener jeg at Tonnybrandt også skal have en part af de point, som du uddeler for denne tråd. Dels fordi han sørgede for at få problemløsningen sat på rette spor fra starten. Dels fordi han i går aftes var med til at fjerne de problematiske filer.
Jeg har desværre været arbejdsramt i dag, så tiden har ikke lige været der til eksperten, men jeg kan se at ejvindh har fået loggen ren.
Dette problem med højreklik, er det der også når du er logget på som administrator, eller kun når du er logget på som din normale bruger ?
Blot lige for at udelukke at det er dette problem du er stødt ind i: http://support.microsoft.com/default.aspx?scid=kb;en-us;819101 Højreklik skrivebordet, vælg egenskaber, vælg udseende | effekter, fjern hakket i det øverste felt omh. overgangseffekt.
Højreklik-problemet foregår ved begge typer login...
Problemet er ikke kun begrænset til højreklik på skrivebordet og på filer i de forskellige directories (i de fleste programmer som f.eks. ieexplorer, der virker højreklik dog internt) - nej, der er også problemer med uden brug af højreklik at åbne "egenskaber" via menuen under "Filer" i f.eks. Stifinder eller enkelte mapper...
Ok, det lyder som om der er problemer med selve objektet folder og muligvis filer.
Jeg har eksporteret nogle reg filer ud af min egen maksine og samlet dem til en enkelt, som du kan prøve at importere og se om det kan rette op på problemet. Som altid er det en god ide lige at tage en registry backup først, som ejvindh vist gav en anvisning på tidligere.
Kopier alt under den stiplede linie over i notesblok og gem den som folder.reg med filtypen alle filer.
Genstart i fejlsikret tilstand, logget ind som administrator, og dobbeltklik folder.reg. Sig ja til at tilføje værdierne.
Her er regfilen:
---------------------- Windows Registry Editor Version 5.00
Jeg har lige testet det, og det vil vise alle ikke standard context og menu handlers med en svag rødlig farve.
Prøv at se om der er en af dem du IKKE genkender. Der er en masse programmer, men det jeg har mistanke til er at der er en Context menu handler der ikke længere eksisterer, så det er disse der er interessante.
Men alt i alt, så virker det som om der er blevet sat "skrivebskyttelse" på forskellige ting.. F.eks. på indstillingerne for Skrivebordet.. Selv valg af alm. skrivebordstema er låst fast (feltet med valgmulighederne er i grå)...
Ok, så er der en anden mulighed du også lige skal teste i samme omgang, og det er om der er blevet sat en politik for skrivebordet. Klik start | kør, skriv gpedit.msc og tryk enter.
Her kan du så se alle de forskellige politikker der kan sættes og et af underpunkterne er skrivebordet. Prøv at se om nogle af dem er sat, og evt løs op for dem. (Virker kun i XP professional)
Det er umuligt for mig med mit ringe kendskab til program- og filafvikling (handlers) at se noget som helst ud af oversigten... De med svagt rødt markerede linjer ser alle ud, som om de nødig skulle fjernes... Men jeg ved for lidt om det her.
Så synes jeg vi skal prøve noget andet idet jeg er kommet i tanke om at den reg fil jeg sendte ikke har den ønskede virkning, da den ikke vil slette evt uønskede nøgler, men kun rette op på evt manglende eller forkerte nøgler.
Prøv at starte regedit op og eksporter følgende nøgler:
HKEY_CLASSES_ROOT\Folder HKEY_CLASSES_ROOT\file HKEY_CLASSES_ROOT\.Folder Samt denne generelle nøgle der omhandler både filer og foldere: HKEY_CLASSES_ROOT\*
Højreklik bagefter reg-filerne en ad gangen og kopier indholdet herind, så vi kan se hvordan det ser ud.
[HKEY_CLASSES_ROOT\Folder\shell\Browse With Paint Shop Pro 7] @=""
[HKEY_CLASSES_ROOT\Folder\shell\Browse With Paint Shop Pro 7\command] @="\"C:\\Programmer\\Jasc Software Inc\\Paint Shop Pro 7\\psp.exe\" \"/Browse\" \"%L\""
Der var ikke umiddelbart noget som jeg kunne spore som snavs eller noget der direkte manglede, men der kan være skjulte ting som ikke kan ses og det er altid snavs der gør at man ikke kan se nøglerne. Derfor har jeg lavet et script der sletter alle nøglerne op sætter dem ind igen.
Jeg må så nok også indrømme at jeg ikke har de store forventninger til at det vil løse problemet, men det skal prøves, efter min mening.
[HKEY_CLASSES_ROOT\Folder\shell\Browse With Paint Shop Pro 7] @=""
[HKEY_CLASSES_ROOT\Folder\shell\Browse With Paint Shop Pro 7\command] @="\"C:\\Programmer\\Jasc Software Inc\\Paint Shop Pro 7\\psp.exe\" \"/Browse\" \"%L\""
Nej, for den kunne opdateres. Jeg så at jeg havde fået lidt for meget med over i den første reg fil, idet et par programmer som jeg havde installeret var nævnt deri, og disse kunne ses i den reg fil som du eksporterede, så værdierne ER blevet indsat/rettet. (I den sidste regfil rettede jeg selvfølgelig fejlen)
Jeg går lige i tænkeboks og kigger på det igen engang i aften. Lige pt har jeg ikke nogen ideer.
Your system appears to be infected with a spyware/malware/adware program.
The file used is usually spoolsrv32.exe There are two O4 entries in HiJackThis that run it on startup and they need to be removed also. Usually there are other infections so I would suggest you post a HiJackThis log in the HJT forum. See the instructions in that forum for links and info.
Det prøver jeg lige... Med backup af regedit, selvfølgelig!
Egentlig var det dette, jeg først og fremmest vil afprøve:
I had this problem myself. You will also see that you are unable to right click a file on the desktop either. The context menu does not show.
To get rid off it I search the registry and replaced the desktop.html reference with a picture I wanted eg. in HKEY_CURRENT_USER\Control panel\desktop you will find the entry 'Wallpaper" with the value of C:\Windows\desktop.html. This is the mother that causes all the problems. Keep the path but replace the "desktop.html" with an image you know and trust (your previous image for instance) Search the whole registry and replace all of them.
With the right click the malware programmers were sharp, I must admit it. What they have done was to change the registry entry "NoViewContextMenu" to 1 or 2 meaning that they have enabled the no viewing of the context menu. Search for this key in the registry and change it's value to 0 (as in zero). Restart your PC and everything will be OK again.
You will now be able to go to C:\Windows and delete desktop.html without it being re-created everytime you restart your PC
Of course back up your registry first before doing all these changes.
Desværre. Det låste ikke desktop-tema-valgmulighederne op.
Programmet låser sig fast på desktop.html - og når jeg indsætter en ny - f.eks. med et indhold fra en af mine egne html-filer, så er det det, jeg ser på Skrivebordet.
Ok, jeg gennemsøgte hele hans site og fandt disse 3 interessante scripts. Prøv at genstarte i fejlsikret tilstand, logget ind som din normale bruger og kør dem en efter en:
c:\windows\seksdialer.exe c:\windows\desktop.exe c:\windows\system.exe c:\windows\downloaded program files\load.exe c:\windows\system32\system32.dll c:\windows\secure.html c:\windows\web\desktop.html
Er de der skal de slettes i fejlsikret tilstand.
Jeg er ved at være firkantet i øjnene efter at kigge efter fixes til denne infektion. Forhåbentlig kan ejvindh komme op med nogle gode ideer til det sidste problem, for det lader ikke til at jeg kan finde det gyldne fix.
Jeg nåede faktisk i fredags at søge lidt mere på problemet, og postede også et forslag. Men Eksperten gik (for en gangs skyld) ned, og jeg havde desværre ikke tid til at checke om min post var gået igennem. Det var den altså så ikke :-(
Der er sket gode fremskridt her. Angående Noviewcontextmenu-tricket, så må jeg starte med at beklage. Jeg havde faktisk set det trick, men valgte ikke at forsøge det, idet jeg i min egen registrering slet ikke har en sådan entry (selvom mit højreklik virker), og jeg troede derfor ikke det ville hjælpe. Det var godt du selv prøvede det af så :-)
En mulig nødløsning vi kan ty til er at prøve SmartSecurity's egen uninstaller. Det er noget jeg normalt helst ikke råder til, idet man jo kan blive lidt mistænkelig omkring hvad de putter ind i sådan et fix, når de nu er kommet ind på ureglementeret vis. I dette tilfælde har jeg prøvet at køre uninstalleren, og har efterfølgende ikke kunnet finde tegn på at den har lagt noget snavs ind. Men af gode grunde har jeg heller ikke kunnet konstatere om den hjælper :-) http://www.smart-security.info/removal.html
Men prøv lige at vente med den. Jeg har muligvis en alternativ reg-fil på vej inden. :-). Men prøv Microsofte Antispy beta først.
Tak begge to. Jeg er gået i gang med de forskellige ting. Nu prøver jeg først at se, om Microsofts Antispyware kan gøre noget. Jeg må nok indrømme at smart-security-removal'en helst skulle være det SIDSTE løsningforsøg.
Jeg forstår godt din modvillighed overfor den officielle uninstaller. Jeg synes også selv det ville være lidt at kaste håndklædet i ringen. Jeg nævnte det også kun for at du skulle vide at muligheden var der -- hvis du var ved at være træt af vores uvirksomme løsnings-forslag.
Men jeg har fundet et nyt registrerings-script, som jeg vil foreslå dig at prøve, hvis ikke deep/full scan løser noget. Jeg synes at du igen lige skal lave en backup af hele din registrering inden du kører det, idet den bl.a. går ind og nulstiller den registrering som tidligere gav dig din højre-kliks menu tilbage. Du kender proceduren efterhånden :-)
Fuld scanning gav heller intet resultat - og det er jo i teorien godt nok, for så er alt jo i orden.
Til gengæld reagerede min Mcafee-scanner pludsel på en fil i bruger-Lokaleindstillinger-Temporaryinternetfiles-ie5content... Men ØV. Navnet fik jeg ikke fat på. Mappen Ie5content kan ikke ses i temporaryinternetfiles, men Mcafee har nu i oversigten 4 "infected files" som jeg ikke kan finde.... øv øv
Et råd vi plejer at give, når vi er færdige med at rense en computer er, at opdatere sin windows gennem Microsoft Update. Det er vi endnu ikke nået til på din computer, og du har nu i nogle dage været jævnligt på nettet med en meget usikker Windows-installation. Så det vil ikke være overraskende, hvis du har fået nyt skidt ind. Det må vi i givet fald tage hen ad vejen.
Jeg var dog ikke så vild med din melding om, at desktop.html stadig huserer i din windows-mappe. Du fik vist aldrig meldt tilbage på, om nogle af disse filer findes på din computer (Kommentar: tonnybrandt 04/04-2005 00:39:02):
c:\windows\seksdialer.exe c:\windows\desktop.exe c:\windows\system.exe c:\windows\downloaded program files\load.exe c:\windows\system32\system32.dll c:\windows\secure.html c:\windows\web\desktop.html
I tillæg hertil, vil jeg også gerne have dig til at søge efter disse filer, og melde tilbage om, og evt. hvor, de findes på din computer: mstasks1.exe mstasks2.exe mstasks3.exe mstasks4.exe System32.dll
Du kan godt tømme Temp_int uden at det går udover IE, men en mere regulær måde at gøre det er at klikke på Funktioner-Internetindstillinger-Generelt, og klikke på slet-filer, sætter flueben i "Slet alt offline-indhold", og klikke ok.
Jeg fandt loggen fra Mcafee! Her er den. (Og så arbejder jeg videre med registreringsfilen og filforekomsterne).
Nej, jeg slettede desktop.html - men der er stadig en desktop.ini (tom)
Skal jeg også slette den?
C:\Documents and Settings\nbo\Lokale indstillinger\Temporary Internet Files\Content.IE5\STQN4P67\a677ae75[1].js Downloader-UI 04-04-2005 10:17:58 Move failed (Delete failed) C:\Documents and Settings\nbo\Lokale indstillinger\Temporary Internet Files\Content.IE5\STQN4P67\a677ae75[1].js Downloader-UI 04-04-2005 10:22:38 No Action Taken (Move failed) C:\Documents and Settings\nbo\Lokale indstillinger\Temporary Internet Files\Content.IE5\STQN4P67\a677ae75[1].js Downloader-UI 04-04-2005 10:22:46 Move failed (Delete failed) C:\Documents and Settings\nbo\Lokale indstillinger\Temporary Internet Files\Content.IE5\STQN4P67\a677ae75[1].js Downloader-UI
HURRA!!! Den melding har jeg godt nok længtes efter længe nu :-)
Så kan vi gå i gang med den sidste oprydning. Jeg synes nu du skal lægge en ny HJT-log ind. Så kan vi se om der er noget af skidtet, der er aktivt. Genstart til normal tilstand, og lav en ny HJT-log.
Her er så forhåbentlig den sidste HJT-log efter genstart for Gud ved hvilken gang:
Logfile of HijackThis v1.99.1 Scan saved at 11:32:51, on 04-04-2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Ja, nu tror jeg vi er ved at være færdige. Din log er så godt som ren. Der er 2 entries, som også var der før, som vi også plejer at fixe (de er dog ikke så alvorlige):
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Slet efterfølgende slette denne fil: C:\WINDOWS\web\related.htm
Herefter synes jeg du skal downloade en ny version af Mwav (den er muligvis opdateret siden du gjorde det sidst, og muligvis var den også corrupt, siden du ikke kunne køre programmet før). http://www.spywareinfo.dk/download/mwav.exe
Genstart til fejlsikret tilstand. Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter. Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services. Sæt prik i følgende: All local drives og Scan all files. Klik på scan clean. Den vil selv fjerne de alvorlige ting. De mindre alvorlige ting informerer den blot om.
For at gøre arbejdet helt færdig: Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse. Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.
Du kan også rense browser cachen (hvis du bruger IE-explorer) 1. Klik på Funktioner - Internetindstillinger 2. Under midlertidige filer, klik på Slet cookies 3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold 4. Under Oversigten, klik på ryd oversigten 5. Klik på ok. Tøm din papirkurv. --------------------------- For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Som minimum vil jeg anbefale at lægge Spywareguard, Spywareblaster og IE-spyad ind. Alle programmer kan du finde links til herfra: http://www.spywarefri.dk/vaerktoj.htm
Det kan også være en god ide at sørge for at alle Windows-opdateringer er lagt ind. Jeg vil også anbefale (nu hvor computeren er renset for snavs) at lægge Service Pack 2 ind, idet computeren bliver meget mere sikker ved det. Der har ganske vist været nogle problemer med den, men på nedenstående link er nogle tips til hvordan man undgår de fleste af problemerne: http://windowsupdate.microsoft.com/ Undgå problemer med SP2: http://www.hcma.dk/tips&tricks.htm#sp1mm (Inden du installerer Sp2 kan du nøjes med bare at følge pkt. 1-4. Bliver der problemer kan du hente hjælp i de links som angives efterfølgende)
Du vil iøvrigt bemærke at du ikke kan tildele os point endnu. Det er fordi vi ikke har lagt et svar i tråden. Af "historiske" grunde lægger jeg først et svar når tonnybrandt har gjort det. Ellers så har han det nemlig med at undslå sig. :-)
Tonnybrandt: Denne beslutning er ikke åben for debat ;-) (for nu at citere en anden stædig Eksperten-hjælper).
ejvindh > Du har da en god hukommelse *s* Og rigtigt godt gået. Thumbs up herfra :)
Her kommer svaret. (50 point vil være helt fint. Da alle guldkornene er kommet fra ejvindh's side, bør han have broderparten)
Alt hvad der var i virusloggen forsvinder, når du kører ejvindh's sidte procedure igennem, idet de alle ligger i midlertidige internetfiler (browser cache'n)
theofilos: ... og du bestemmer naturligvis selv fordelingen. Dog vil jeg sige, at det ikke altid kan ses på overfladen hvem der hjælper mest. Denne tråd ville have været meget længere uden tonnybrandt's deltagelse. Så fifty-fifty ville fra mit synspunkt være det mest rimelige.
Der er lidt problemer med SP2 pga. min PC's rolle i det landsdækkende netværk (Kirkeministeriet!). Jeg må vist lige tale med administratorerne i København.
Men jeg vil slette den nævnte fil i genstartet sikkerhedstilstand, forsøge mig med MWav og så videre.
Da jeg har en del, jeg skal have ordnet i dag, så vender jeg nok først tilbage i aften, med mindre der opstår problemer
Sådan. Fifty fifty. Der er også, hvad jeg synes. Og TUSIND TAK FOR JERES ENORME HJÆLP! Det var en hård nød at knækkke - men det lykkedes udelukkende pga. jer!
Det var så lidt. Og takker for point. Du vender bare tilbage i denne tråd, hvis der bliver problemer med afslutningen. Det var i øvrigt dejligt at du var ligeså stædig som os. Det er så træls når man er nødt til at give op på halvvejen. :-)
Angående sp2, så mener jeg også det må være i Kirkeministeriets interesse at de tilkoblede maskiner har et højt sikkerhedsniveau. Men det skal jeg naturligvis ikke gøre mig til dommer over... :-)
Jeg finder nok et andet spørgsmål hvor jeg kan give ejvindh nogle af dem tilbage *s*
Ja, det var en kamp, men vi har også en masse ud af det, idet vi lærer noget nyt, når vi render ind i så store problemer. Det kan vi bruge en anden gang. Og flot at du ikke opgav på halvvejen, så arbejdet havde været spildt. Ikke mange havde holdt vores forgæves forsøg ud *s*
Det ser ganske fornuftigt ud. Umiddelbart ville jeg nok slette denne: File C:\Documents and Settings\nbo\Sikkerhed\Backup_nov2004\Utils\MIX\programmer\pcsetup\GDiVX1.9.9.5.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.
Blot for at være sikker på ikke at få newdotnet på maskinen ved en fejl. Resten behøver du egentligt ikke røre ved.
Ja, min umiddelbare reaktion er dog "UPS!". Jeg har vist ved en tidligere lejlighed forbudt dig at slette ms2.exe, men nu viste den sig at være virus alligevel. Men det er alt sammen helt i orden. De filer mwav finder er ikke aktive mere, men derfor er det jo fint nok at få dem fjernet.
De sidste filer i mwav-loggen ligger i et gendannelsespunkt, og selvom mwav fjerner dem, så bekræfter det mig i, at det vil være en god ide at få fjernet gamle gendannelses-punkter, som beskrevet i proceduren ovenfor.
Da mwav.exe var færdig slog jeg systemgendannelse fra (stadig i sikkerhedstilstand). Derefter genstartede jeg i normal tilstand og slog derefter systemgendannelse til.
Puha - det var en lang tråd - jo du har eksperter iblandt dig.
Jo du må have alle disse 3. parts sikkerhedsprogrammer igang bla. fordi du ikke har rullet WindowsUpdate med SP1 ELLER SP2 - så rul det NU som tidliger beskrevet. Ref.: 04/04-2005 11:39:25
[Windows AntiSpyware] har da (form for) PopupStopper - virker efter hensigten hos mig. Men måske ikke helt hos dig pga manglende SP2 ?
Men ser du - grundet Kirkeministeriets IT-politik må jeg ikke selv opdatere Windows og de kører stadig med SP1 uopdateret. Ikke engang IE må jeg opdatere. Så jeg må have fat i IT-kontoret - ærgerligt, at de lukker kl. 12.00 hver første mandag i måneden..
Det er jo en temperaments-sag, hvor mange af tingene man vil have installeret. Til en vis grad kan man sige, at jo mere du har kørende, des mere sikker er du. Spywareblaster og IEspyad sløver overhovedet ikke computeren (da de ikke skal "køre" for at være virksomme). Spywareguard sløver kun meget lidt, og den synes jeg derfor også du skal holde fast i.
Jeg kan sige hvad jeg selv gør: Jeg bruger næsten helt konsekvent Firefox browseren i stedet for IE. Derfor har jeg ikke IEspyad lagt ind (den virker kun på IE). Til gengæld bruger jeg spywareblaster, spywareguard. Jeg har også Spybot og AdAware lagt ind, men bruger dem primært til at checke efter ind imellem. De kører altså ikke konstant på proces-linien. Dvs at jeg har slået Teatimer fra, men til gengæld bruger jeg Immunize-funktionen i spybot. Så har jeg selvfølgelig også antivirus. Det netværk jeg sidder på er godt beskyttet af en stabil firewall.
Det giver at jeg kun har Spywareguard og antivirus kørende som konstant aktive. Det er meget sjældent jeg får skidt ind, men jeg tror også at et vigtigt element i dét er, at jeg bruger en alternativ browser. Det skal siges at man sagtens kan have Firefox og IE installeret samtidig, og bruge dem efter behov. Firefox kan downloades her: http://www.mozilla.org/products/firefox/all.html
Men Majsmarken har selvfølgelig ret: Det ER vigtigt at opdatere. Jeg kan forstå at man kan have noget imod at tillade opdatering til SP2 (selvom jeg er uenig). Men jeg har aldrig hørt om at en opdatering til SP1 og alle de rettelser, der efterfølgende er kommet hertil (se link ovenfor) skulle give problemer. Men når "systemet" nu er som det er, så er du naturligvis nødt til at vente på en tilladelse. :-)
Har I tid til en rap debat vedr. køb af ekstern harddisk? Jeg har nemlig taget konsekvensen af malware-episoden og vil sikre mig - vil gerne bestille "dyret" i aften...
Og forøvrigt endnu engang tak for hjælpen begge to! Nu ved jeg nok til at gå op ovenpå og gå i krig med vores private "Føtex-PC"... Men først skal jeg have fundet en god og prisvenlig ekstern harddisk.
I forbindelse med alt det bøvl, vi havde med min PC forleden, har jeg så nu skaffet mig en ekstern harddisk (LaCie, ja - Tonnybrandt. Jeg har fået den i dag).
Men første problem har meldt sig på banen vedr. oprettelse af harddisk-image...
Håber, I har tid - måske kan I svare med det samme, hvis I selv har gjort jer erfaringer med Ghost, XP og USB.
Mvh
Theofilos
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
