Notifikationer

Markér alle som læst Log ud

rthuls Nybegynder

23. december 2003 - 09:10 Der er 12 kommentarer og
1 løsning

Virus eller hvad?

Godmorgen! Jeg håber ikke at I alle er taget på juleferie endnu, for jeg har et meget mærkeligt problem.

Ca. hvert andet sekund popper der et vindue op med teksten:

Windows Installer
Forbereder installationen

Der bliver dog ikke installeret noget og vinduet lukker kort efter sig selv igen, blot for at åbne igen. Og sådan kører det hele tiden, så det er jo pænt belastende. Bl.a. gør det at jeg ikke kan installere/afinstallere programmer, da der allerede er en installation igang.

Jeg har geninstalleret WindowsXP igår (dog uden at formatere).
Jeg har installeret alle vigtige updates fra Windows Update.
Jeg har installeret, opdateret og kørt Norton AntiVirus.
Jeg har installeret, opdateret og kørt SpyBot.

Jeg ved ikke om det kan hjælpe noget, men jeg har kørt HijackThis og min log ser sådan her ud:

Logfile of HijackThis v1.97.7
Scan saved at 00:06:42, on 23-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programmer\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~2\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~2\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\Fælles filer\PFShared\UmxCfg.exe
C:\Programmer\Fælles filer\PFShared\UmxPol.exe
C:\Programmer\Tiny Personal Firewall\UmxAgent.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Tiny Personal Firewall\UmxTray.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\MsiExec.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ras\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://signon.stofanet.dk/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - C:\Programmer\Fælles filer\PFShared\weaddon.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.3256481482

Synes godt om

arlet Juniormester

23. december 2003 - 09:15 #1

Jeg løber den lige igennem

Synes godt om

arlet Juniormester

23. december 2003 - 09:28 #2

Kører du med proxy igennem stofanet
Kender du denne:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://signon.stofanet.dk/proxy.pac

Synes godt om

rthuls Nybegynder

23. december 2003 - 09:32 #3

Ja, den har jeg sat i:
Funktioner > Internetindstillinger > Forbindelser > LAN-indstillinger > Adresse

Synes godt om

arlet Juniormester

23. december 2003 - 09:41 #4

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

Synes godt om

arlet Juniormester

23. december 2003 - 09:45 #5

Kender du dem her:
C:\Programmer\Fælles filer\PFShared\UmxCfg.exe
C:\Programmer\Fælles filer\PFShared\UmxPol.exe

Synes godt om

arlet Juniormester

23. december 2003 - 09:47 #6

måske til din firewall??

Synes godt om

rthuls Nybegynder

23. december 2003 - 09:57 #7

Jeg kan ikke lige læse ud fra den side du henviser til, hvordan jeg deaktivere systemgendannelse. Er det bare at køre `'shutdown -a' ?

Jeg teori om at det er firewallen, den er gal med. Jeg er lige ved at rode lidt med msconfig, for at se om jeg kan få den deaktiveret.

Synes godt om

rthuls Nybegynder

23. december 2003 - 09:58 #8

Og nej, jeg kender ikke de to filer du spørger om.

Synes godt om

arlet Juniormester

23. december 2003 - 10:03 #9

Systemgendannelsen deaktiveres sådan ->

start - kontrolpanel - netværksforbindelser - højreklik på din forbindelse og den i egenskaber og avanceret, der slår du den fra.

Msconfig skal ikke ligge i startup, så derfor skal den fixes i Hijackthis.

Gør det først, derefter syntes jeg du skulle prøve at slette den firewall og genstarte og smide en ny log herind

Synes godt om

rthuls Nybegynder

23. december 2003 - 10:24 #10

Nu fik jeg deaktiveret og derefter afinstalleret min firewall og det ser ud til at det var den der var skyld i problemet.

Min HijackThis log ser nu sådab her ud:

Logfile of HijackThis v1.97.7
Scan saved at 10:22:06, on 23-12-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Extensis\Suitcase 9.2\Suitcase.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~2\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~2\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Ras\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://signon.stofanet.dk/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {BF55256A-3B3B-11D2-B05B-000001145917} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - Global Startup: Suitcase Startup.lnk = ?
O9 - Extra button: Opslag (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.3256481482

Synes godt om

arlet Juniormester

23. december 2003 - 10:37 #11

Så er du ren og kan aktiver din systemgendannelse igen

For at sikre din fremtidige færden på nettet vil jeg foreslå at du henter følgende freeware programmer :
Spywareblaster & Spywareguard & IE-SPYAD & Empty Temp Folders

Alle programmerne finder du her http://www.spywarefri.dk/vaerktoj.htm

Hvor der også er en beskrivelse af programmerne, samt en installations vejledning..

Alt sammen skal løbende opdateres, Du kan følge med hvornår programmet sidst er opdateret nederst på www.spywarefri.dk.

Det er meget vigtigt at du også holder dit windows og IE opdateret.

du skal lige sørge for at få lukket Dcom. Her kan du se hvordan du skal gøre det : http://www.spywarefri.dk/tipsogtricks.htm#DCom

Derefter kan du trygt surfe på nettet, uden at få alt det snavs på computeren.

Så er det så op til dig om du vil bruge Tiny igen.

Alternativ er der sygate også freeware : http://download.com.com/3001-2092-10184369.html

Synes godt om

rthuls Nybegynder

23. december 2003 - 10:52 #12

Mange tak for hjælpen arlet og rigtigt god jul :-)

Synes godt om

arlet Juniormester

23. december 2003 - 10:53 #13

Velbekommen og ILM

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus	22	26/11/202510:42	23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus	8	31/08/202519:08	01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus	10	03/02/202514:20	04/02/202511:05
mulig ukendt virus Af jackie18 i Virus	3	18/01/202514:07	18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus	13	18/01/202511:40	20/01/202517:53

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS