Avatar billede rebse Nybegynder
08. juni 2005 - 12:19 Der er 18 kommentarer

WUInst.inf

Jeg har en virus der har lagt en baggrund på mit skrivebord. der står warning your computer...bla bla
hvordan slipper jegfor den?

(jeg har næsten prøvet alle programmer
jeg kunne finde links til herinde i konferencen)
Avatar billede kalp Novice
08. juni 2005 - 12:22 #1
højreklik på skrivebordet og vælge egenskaber... tryk på fanen skrivebord og tryk på knappen tilpas skrivebordet.. vælge fanen web og fjern flueben i alt herinde.

bagefter

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.
Avatar billede rebse Nybegynder
08. juni 2005 - 12:30 #2
hej!
Den har fjernet fanebladet internet/ udseende, farver osv.
så jeg kan ikke vælge fra - heller ikke inde under kontrolpanel.

-----

Her er log file:
Logfile of HijackThis v1.99.1
Scan saved at 12:29:44, on 08-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\alg.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Winamp3\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINXP\System32\cisvc.exe
C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINXP\System32\snmp.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\wdfmgr.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINXP\System32\wuauclt.exe
C:\WINXP\popuper.exe
C:\WINXP\System32\intmonp.exe
C:\DOCUME~1\rebekka\LOKALE~1\Temp\mobn.exe
C:\WINXP\System32\msole32.exe
C:\WINXP\System32\cidaemon.exe
C:\Programmer\Adobe\Photoshop 6.0\Photoshp.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Canon\MultiPASS4\MPDBMgr.exe
C:\Program files\InterMute\SpySubtract\SpySub.exe
C:\Documents and Settings\rebekka\Skrivebord\vir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\PCHealth\HelpCtr\System\panels\blank.htm
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F2 - REG:system.ini: UserInit=C:\WINXP\System32\Userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\\winampa.exe"
O4 - HKLM\..\Run: [RegSvr32] C:\WINXP\System32\msmsgs.exe
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programmer\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [AntivirusGold] C:\Programmer\AntivirusGold\AntivirusGold.exe /h
O4 - HKLM\..\RunOnce: [StopSignSsTsMon] Rundll32.exe "C:\Programmer\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Intel system tool] C:\WINXP\System32\hookdump.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
Avatar billede kalp Novice
08. juni 2005 - 12:39 #3
Hvad er det her? noget du bruger? hvis ikke skal det slettes
C:\Programmer\Acceleration Software\

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Slet mappen

C:\Programmer\AntivirusGold\

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\PCHealth\HelpCtr\System\panels\blank.htm
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F2 - REG:system.ini: UserInit=C:\WINXP\System32\Userinit.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RegSvr32] C:\WINXP\System32\msmsgs.exe
O4 - HKLM\..\Run: [AntivirusGold] C:\Programmer\AntivirusGold\AntivirusGold.exe /h
O4 - HKCU\..\Run: [Intel system tool] C:\WINXP\System32\hookdump.exe
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis nok fjernet!)

Filerne

C:\WINXP\popuper.exe
C:\WINXP\System32\intmonp.exe
C:\DOCUME~1\rebekka\LOKALE~1\Temp\mobn.exe
C:\WINXP\System32\msole32.exe
C:\WINXP\System32\msmsgs.exe
C:\WINXP\System32\hookdump.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik ramt på det hele eller om noget er blevet overset:)
Avatar billede hldc Nybegynder
08. juni 2005 - 13:12 #4
Undskyld jeg bryder ind,,  men hvordan opretter jeg et spørgsmål... har en hjt log, som jeg gerne vil have set igennem
Avatar billede kalp Novice
08. juni 2005 - 13:36 #5
Avatar billede hldc Nybegynder
08. juni 2005 - 14:12 #6
kan ikke få det til at virke, skal logge ind hele tiden.  ?

Hvis jeg måtte sende min hjt log på din email, ville det være godt, har virklig problemer her!

hldc
Avatar billede kalp Novice
08. juni 2005 - 14:24 #7
bilwac@lyngbyes.dk bliver dog først engang i aften jeg svare..
Avatar billede hldc Nybegynder
08. juni 2005 - 15:02 #8
ok, og tak
Avatar billede rebse Nybegynder
08. juni 2005 - 18:14 #9
hej totalt kaos! med to grafiske deadlines
så jeg kører først scan i safe mode nu..

det har taget heeelt vildt lang tid indtil videre...
ved du hvor lang tid det ca. tager?

r
Avatar billede rebse Nybegynder
08. juni 2005 - 19:58 #10
så lykedes det vidst!

kan jeg sende loggen til din email? vil helst ikke
have hele min computer udstillet her.
-------


og tusind tak
Avatar billede kalp Novice
08. juni 2005 - 21:05 #11
rebse >> Det skader ikke at du "udstiller" din computer her:) man kan ikke se nogle personlige oplysninger. I hvertfald ikke noget kritisk. 

Jeg foretrækker loggen her, men ellers hvis du sender den til min mail så send en reference til spørgsmålet her så jeg kan holde styr på hvis log der tilhører hvem:)
Avatar billede rebse Nybegynder
09. juni 2005 - 11:48 #12
Den er meget meget lang!
Avatar billede kalp Novice
09. juni 2005 - 12:13 #13
det skader ikke.. skal kun se en log fra hijackthis
Avatar billede rebse Nybegynder
09. juni 2005 - 12:37 #14
nårh, ok jeg troede du skulle se den fra mwav...
men her er hijack:

-----


Logfile of HijackThis v1.99.1
Scan saved at 20:27:48, on 08-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\alg.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\Winamp3\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\System32\cisvc.exe
C:\WINXP\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINXP\System32\snmp.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\wdfmgr.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Program files\InterMute\SpySubtract\SpySub.exe
C:\WINXP\System32\wuauclt.exe
C:\Programmer\Canon\MultiPASS4\MPDBMgr.exe
C:\Programmer\Adobe\Photoshop 6.0\Photoshp.exe
C:\WINXP\System32\cidaemon.exe
C:\Documents and Settings\rebekka\Skrivebord\vir\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINXP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINXP\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\\winampa.exe"
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programmer\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\Programmer\Canon\MultiPASS4\MPSERVIC.EXE
Avatar billede kalp Novice
09. juni 2005 - 12:45 #15
din log er god hvis du kan bekræfte at du kender dette program

C:\Programmer\Acceleration Software\ og eller skal du bare slette den folder:)
Avatar billede rebse Nybegynder
09. juni 2005 - 13:28 #16
hej,

Jeg kan ikke se nogen mappe der hedder Acceleration Software-
Avatar billede rebse Nybegynder
09. juni 2005 - 14:03 #17
hmm, den kommer stadig med virus advarsel?
Avatar billede kalp Novice
16. juni 2005 - 10:58 #18
hvad finder den?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester