En Trojansk hest (system 32/cmd.exe)

Prøv at køre McAfee's Stinger som kan fjerne en række vira:

http://download.nai.com/products/mcafee-avert/stinger.exe

Prøv desuden et par online virusscannere (hvis du ikke allerede har gjort det)

det vindue der popper op er højst sandsynlig en dos prompt, men står der ingen hvid text i den ? kører der ikke en text igennem inden den lukker igen eller så den bare og blinker kalr til input og du selv skal lukke på X ?

http://spywarefri.dk/onlinevark.htm
Tag lige en tur med X-block først, derefter med Panda, skriv op hvad de finder, hvis de finder noget, så har vi noget at gå ud fra.

Jeg har skam prøvet McAfee's Stinger - uden succes ! Jeg har også været inde at hente SPYBOT og har slettet flere filer på "hijackthis", selvom jeg har hørt, at man skal passe på med dette. Er der nogen der har stor kendskab til SPYBOT ?
Ttil Z1n : Det vindue der popper op har sort baggrund, men ingen tekst i det. Det er kun øverste linje, hvor der står "system32/cmd.exe". Det forsvinder af sig selv efter 1-2 sek. uden at jeg kan undersøge det nærmere.

så smid lige den hijackthis log herind, så finder vi dit problem i den..

når du kører spybot, så skal du opdater først og så skal alle de røde markeres og så tryk på afhjælpe valgte problemer

DU HAR IKKE SLETTET NOGET SELV MED HJT, VEL?
Om der er nogen der har forstand på spybot, ja det har både Arlet og jeg, for at nævne to, der er skam flere, f.eks:
http://www.spywarefri.dk/hvemervi.htm

Ups - tak for point men føler ikke helt at de var fuldt ud berettigede.

Du er i gode hænder med Fromsej og arlet - de har sgu styr på SpyBot og HihJackThis

sorry fromsej - men det har jeg altså ! Håber da godt nok ikke, at det har betydet noget.
mht. X-block så har jeg lige kørt det, og den fandt skam fejlen og slettede den. Efter genstart af min pc'er så kom boksen IKKE længere frem. Tusind tak for hjælpen :-) Ja, så kunne jeg altså bare godt lige tænke mig at vide, hvad der kan ske ved at slette nogen af de fundne filer inde på HJT ? *S*

en forkert fil du sletter kan betyde format c:

Det kan vanskeliggøre vores tjek af logfilen, da det noglegange er når to eller flere ting optræder i en bestemt kombination, er det snavs og andre gange ikke, så for at lette det for os, er det bedre at få logfilen uden der er ryddet op i den, men hvis det har været helt tydeligt snavs, det du har slettet, er det da OK.
Men skal vi ikke lige kigge den igennem alligevel?

altså kære arlet og fromsej. Jeg kan se, at I har helt styr over det her med pc-problemer. Dejligt at folk gider at bruge deres tid på andre med problemer.
MEN - I bruger altså nogle udtryk, som kan være svært at forstå for sådan nogen som mig, der ikke er pc-ekspert. HVordan sender jeg f.eks en hijackthis log ind til eksperten - og hvad mener du med, at en forkert slettet fil kan betyde format c: ?

hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...



Manual for installering af hijackthis:

http://www.spywarefri.dk/hijackthis.man.htm

Tiramisu>>Det er fair nok, så må vi jo forklare det bedre, du scanner med Hijackthis, klikker på save log, og kopierer logfilen herind, den skulle gerne åbne af sig selv i Notepad, ellers dobbeltklikker du bare på den, og vælger Åbn med=>Notepad, så er det bare Kopier - Indsæt.
Hvis du sletter en vital del af dit styresystem, det er Registreringsdatabasen du piller i, så kan det i værste fald ende med at du skal geninstallere dit styresystem, det er set et par gange.*S*

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...

Det er så for sent nu, men til en anden gang *S*

Nu prøver jeg så lige det her. Som sagt, så har jeg allerede deletede en del filer, indtil videre ikke konstateret, at det har givet problemer, men det finder jeg måske ud af senere....!!! Synes sq at det er utroligt de problemer som man kan få ved at ahve en alm. pc'er til hjemmebrug - men sådan er det jo.

Logfile of HijackThis v1.97.3
Scan saved at 11:44:57, on 21/10/2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\STOPzilla!\szntsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Jimmy\Application Data\odpc.exe
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jimmy\Lokale indstillinger\Temp\Midlertidig mappe 5 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.ewebsearch.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hpoe] C:\Documents and Settings\Jimmy\Application Data\odpc.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1066644031153
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Slå systemgendannelse fra: http://www.spywarefri.dk/virus.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart, ny logfil herind.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.ewebsearch.net/
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.axis.com/products/camera_servers/AxisCamControl.ocx

---------------------------------------

Det her kan jeg ikke finde nogle oplysninger på:
C:\Documents and Settings\Jimmy\Application Data\odpc.exe
O4 - HKCU\..\Run: [Hpoe] C:\Documents and Settings\Jimmy\Application Data\odpc.exe

Men hvis du ved hvad det er, så bare lad det være, og ellers lad det være i første omgang.

Uha - gid man dog var IT-uddannet :-)

Kan det virkelig passe at alle de der "system32" filer skal være på computeren ?

Her kommer en ny logfil så :

Logfile of HijackThis v1.97.3
Scan saved at 12:14:58, on 21/10/2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\STOPzilla!\szntsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Jimmy\Application Data\odpc.exe
C:\Programmer\ICQ\ICQ.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jimmy\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hpoe] C:\Documents and Settings\Jimmy\Application Data\odpc.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1066644031153
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Ja, de System32 filer skal køre for at din PC vil køre.
Jeg er skam ikke IT uddannet, selvlært er det rigtige udtryk, med ret til at blive kaldt nørd.(o;

Du skal have opdateret din WinXP med Servicepack 1, den kan hentes her i fuld version.
http://www.it-service.sdu.dk/vis.php?side=84

Din log er ren nu, for at holde skidtet ude af din PC, kan du hente flg. programmer:
Spywareblaster, Spywareguard, IE-Spyad og Empty Temp Folders, dem finder du, sammen med danske vejledninger her:
http://www.spywarefri.dk/vaerktoj.htm
Læs især om IE-Spyad, så du får det fulde udbytte af dette lille geniale program.
Mvh:
Fromsej/Team Spywarefri.

Kære fromsej !

Jeg har ikke tidligere været inde på eksperten.dk eller spyware. Men nu har jeg fået læst en del på disse 2 homepages - og man må sige, at der er masser af nyttige oplysninger. Fantastisk at man kan få gratis hjælp fra eksperter på den måde. Jeg vil helt sikkert benytte disse sider igen, og sprede buskabet til dem jeg kender, der også af og til kæmper med IT-problemer.

Jeg håber, at mit nuværende problem er blevet løst. Jeg vil sige TUSIND TAK for Jeres venlige hjælp herinde.

Sidste spørgsmål er i denne omgang : bør jeg slette nogle af alle de virusscanner programmer, som jeg har liggende på mit skrivebord nu ?

MVH TIRAMISU

alt det på skrivebordet er backups af det der er slettet og da det er snavs alt sammen kan du roligt smide det i papirkurven og tømme denne..

Dit problem skulle gerne være løst, samt et du sikkert ikke engang har opdaget.
Før du fjernede de to linier 06 - HCKU/--/restrictions, har der været ting du ikke kunne ændre i din Internet Explorer, endnu et beskidt trick fra spywarefabrikanterne.
Ang. virusscannerprogrammer, er det link til onlinescannere du har liggende, kan du lade dem ligge eller fjerne dem, som du selv vil, det første link jeg gav dig med onlinescan, er godt at ligge i foretrukne, så har du hurtig adgang til nogle af de bedste onlinescannere, både virus og spyware.
Hvad der ligger af backupfiler fra Hijackthis kan du roligt slette.