Sort baggrundsskærm

start med at stikke din xp-cd i og skriv i kør > sfc /scannow

ellers lav en repair.>> http://hcma.dk/tips&tricks.htm#install_repair

format c:

var en mulighed;)

forsøg dig med i kør at skrive sfc /scannow bemær der er mellemrum efter sfc.

den reparerer dine systemfiler. du aksl have din XP cd klar da den skal bruges.

Hvis den ikke vil køre som skrvet ovenfor så prøver du med sfc/scannow altså uden mellemrum. Det kan være at det virker.

.o)

det er en virus/orm http://securityresponse.symantec.com/avcenter/venc/data/w32.bezilom.worm.html , hent HiJackThis her http://www.merijn.org/files/hijackthis.zip manual til hijackthis her http://www.spywarefri.dk/hijackthis.man.htm
smid en log herind, så kommer der en af de skrappe logtydere og kigger på den :)

gratis har ret..
tillader mig lige at smide dettte link, til en god online scanner..O)
http://housecall.trendmicro.com/housecall/start_corp.asp

Logfile of HijackThis v1.99.1
Scan saved at 17:11:07, on 11-04-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Norman\bin\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\msdtc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\helper.exe
C:\Norman\bin\ZLH.EXE
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\PikaOne Software\FlyCASE\PikaBackup.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ssmypics.scr
C:\Programmer\Mozilla Thunderbird\thunderbird.exe
C:\Programmer\WinRAR\WinRAR.exe
C:\DOCUME~1\Schunck\LOKALE~1\Temp\Rar$EX02.662\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {0C89566B-3283-A2A1-2AFE-1749B2D3DC9F} - pizda.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Name - {6B15B63A-C39A-4945-AD62-C31BF43153D6} - C:\WINDOWS\System32\msywv.dll (file missing)
O2 - BHO: Name - {A1E5321A-81D3-4128-9C18-DF7BD8D8DA9C} - C:\WINDOWS\System32\msywv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dwcrnt.exe] dwcrnt.exe
O4 - HKLM\..\Run: [typeconf] Uint32.exe
O4 - HKLM\..\Run: [driver64] panel_its.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Ad-watch] C:\Programmer\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [WareOut] "C:\Programmer\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [NopeZ] ATLIEHELPER.exe
O4 - HKCU\..\Run: [media64] syspanel.exe
O4 - HKCU\..\Run: [ssweeper] iehelper.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Pika Backup.lnk = C:\Programmer\PikaOne Software\FlyCASE\PikaBackup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {1CB83B09-BD8C-4074-8E3A-A7E8918401D2} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1CB83B09-BD8C-4074-8E3A-A7E8918401D2} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/tuma/web/axe/x.chm::/update.exe
O16 - DPF: {1221EA33-878F-4672-B799-05DAAF1298CF} (sysinfo1 Class) - http://resources.tele2.dk/privat/internet/pctest/systeminfo1.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.188.110/webace/s1//q.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D96FCAA-32AF-4C9B-8649-9790D2C6286B}: NameServer = 69.50.184.85,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3DE11B0-85A5-42CF-8535-B8E9592F42D9}: NameServer = 69.50.184.85,195.225.176.37
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

det er altid en mulighed, men jeg vil helst undgå det.

foregående besked var til 7 degreez, men den vil åbenbart ikke afvise svaret

Desværre:
housecall fandt godt nok 2 trojanere, men det ændrede ikke noget
og sfc /scannow fandt heller ikke noget.

Et ekstra spørgsmål: er Norman ikke godt nok som virus program? Og kan ad-aware følge med, spyware doctor siger den har fundet en hel masse, men da jeg kun har en prøve version vil den ikke fjerne det.

HVORFOR KAN JEG IKKE AFVISE svaret?

du ska makere navnet og så trykke på afvis, jeg har kigget efer en log-tyder men der er ikke nogen på iøjeblikket, tjekkede lige tv programmet men der er ikke fodbold, så de spiser sikkert :)

ah smart ;)

Kigger på den log :)

citat> Desværre:
housecall fandt godt nok 2 trojanere, men det ændrede ikke noget
og sfc /scannow fandt heller ikke noget.

de er der sikkert igen, fordi du ikke fik deaktiveret systemgendannelsen..?
Og ikke ryddede op..>http://www.trendmicro.com/en/security/advisories/win_me_clean.htm

http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold - hent og installer min. Servicepack 1 til Windows XP. Det kan slet ikke betale sig at rense en maskine uden servicepack (maskiner uden servicepack kan nemlig heller ikke ikke installere hotfixes)

Ny log når servicepack er inde - tak :)

Jeg venter stadig på den ny log :)

Jeg kan ikke downloade Service pack 1, den bliver ved med at skrive timeout

Så tag servicepack 2 - du undgår nemlig ikke at den SKAL ind på et tidspunkt.

John > med det snavs der er i loggen, går det ikke at lægge servicepack 2 på før den er renset.

schunk > Kan du ikke få en kammerat til at hente Servicepack 1 til dig og brænde den på en skive til dig ?

Så rensede jeg den på den eneste måde jeg kendte mulig som med sikkerhed rensede total. Jeg formaterede. Nu venter der mange timer med installering af div. programmer. Der var ingen problemer med at downloade service pack efter formateringen. Jeg er ikke helt sikker på hvem der skal have point i denne tråd, er det noget i kan melde tilbage?

Hvad har jeg så lært... INGEN PORNO uden service pack ;o)
Jeg har dertil også erfaret at det ikke er nok at køre ad-aware i ny og næ, og tilføjede derfor ad-watch før jeg loggede mig på i-nettet.
Og så lige et ekstra spørgsmål: Er Norman nok som viruscontrol eller skal der suppleres med noget?

kig på denne artikel http://www.eksperten.dk/artikler/144 , den gir et godt bud på sikkerheds programmer.Norman er fint program, husk at holde det opdateret :)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

(MAKE SURE YOU FOLLOW THE RIGHT FOLDER.
Once there check to see if any of the keys mentioned below are in the SYSTEM folder.

If you see any of the keys below: NoDispCPL, NoDispBackgroundPage, NoDispScrSavPage, NoDispAppearancePage, or NoDispSettingsPage then DELETE THEM, or change their values from 1 to 0.

This key exists only if you have set an option whose flag is stored in the key. (Each value's description begins with the text related to that option on the Local User Properties property sheet.) A value set to 0x00000001. disables access. Deleting a value or setting its data to 0 enables access.

Values Restricting Access to Display Properties

NoDispCPL - Disable Display Control Panel. If the value is set to 1, the Display Properties property sheet is not accessible.

NoDispBackgroundPage - Hide Background Page. If the value is set to 1, the Background property page on the Display Properties property sheet is hidden.

NoDispScrSavPage - Hide Screen Saver Page. If the value is set to 1, the Screen Saver property page on the Display Properties property sheet is hidden.

NoDispAppearancePage - Hide Appearance Page. If the value is set to 1, the Appearance property page on the Display Properties property sheet is hidden.

NoDispSettingsPage - Hide Settings Page. If the value is set to 1, the Settings property page on the Display Properties property sheet is hidden.

ved godt det står på engelsk men har selv haft problemmet og fandt ud af det her hjalp

led og du skal finde
led længe nok og du skal finde meget

Thomas

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

og hvordan entrerer jeg så det?

start kør skriv regedit og du har nu editoren til registreringsdatabasen åben. find hkey current user åben den find næste åben den osv når du når til system så marker den og i højre finder du de nøgler som der freferes til ved at højreklikke på en nøgle kan du rediger den dens data. SE DIG FOR OG LAD VÆRE MED AT ÆNDRE NOGET FØR DU ER SIKKER PÅ DU ER DET RETTE STED.