Søg
Avatar billede pyna Nybegynder
22. januar 2004 - 12:03 Der er 36 kommentarer og
2 løsninger

RPC problemer

Hej! Jeg er som så mange andre løbet ind i virusproblemer på min PC.
Den genstarter og lukker osv. i en uendelighed, men jeg har anvendt "shutdown -a" for at komme så langt som her til.
Jeg har installeret og kørt Spybot, og Hijackthis og sender jer hermed logfilen og håber på lidt hjælp til fejlrettelse:
(Systemgendannelse er deaktiveret!)

Logfile of HijackThis v1.97.7
Scan saved at 11:54:40, on 22-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\AdGuard\ag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\sndloader.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Poul  Nymark\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {81B7840F-6889-4950-B555-E89C5E68B2EC} - C:\Programmer\AdGuard\adgnpu.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdGuard] C:\Programmer\AdGuard\ag.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38007.4832291667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Med venlig hilsen
Poul Nymark
Avatar billede resten Nybegynder
22. januar 2004 - 12:05 #1
Fjern den med denne pacth.

http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf
Avatar billede arlet Juniormester
22. januar 2004 - 12:07 #2
kom lige med en ny log efter du har brugt det værktøj resten har lagt. så tjekker jeg efter for rester
Avatar billede denmark77 Nybegynder
22. januar 2004 - 12:15 #3
ja det virker!!!
Avatar billede arlet Juniormester
22. januar 2004 - 12:16 #4
så skal du bare have resten til at ligge et svar.
Avatar billede resten Nybegynder
22. januar 2004 - 12:21 #5
Done.
Avatar billede pyna Nybegynder
22. januar 2004 - 13:02 #6
Hej! Mit spørgsmål til eksperterne er oprettet fra min hjemme PC, og jeg sidder nu på arbejde og kan se, at "denmark77" svarer på mine vegne - sådan ser det i hvert fald ud med kommentaren "ja, det virker".
Jeg kommer ikke videre med problemløsningen før jeg er hjemme fra arbejde igen, og der er således endnu ikke en løsning på mit problem endnu, men jeg vil vende tilbage når jeg har forsøgt med ovenstående løsningsforslag.
Tak indtil videre.
Avatar billede arlet Juniormester
22. januar 2004 - 13:12 #7
ja, det kan jeg se nu.

Så starter vi bare forfra igen.

Kør det blasterfix, som resten har lagt et link til, derefter kan du lægge en ny log herind, så tjekker jeg om der er mere snavs
Avatar billede resten Nybegynder
22. januar 2004 - 13:57 #8
Hmm det haved jeg sku slet ikke lagt mærke til haved du du set det arlet ?
Avatar billede arlet Juniormester
22. januar 2004 - 14:17 #9
nej*S*
Avatar billede pyna Nybegynder
22. januar 2004 - 17:59 #10
Efter at have downloadet filen Windows-KB833330-Dan.exe og forsøger at installere den, får jeg en fejlmeddelelse om, at filen ikke kan installeres før MS03-26 (KB823980) er installeret.
Jeg downloader så WinXP-KB823980-x86-Dan.exe, men når jeg forsøger at installerede den, kommer jeg ikke længere i installation end til "Undersøger nuværende konfiguration", og så bliver installationen "skudt ned". Jeg har nu forsøgt gentagne gange, og jeg har endvidere hentet filen hjem og lagt den på en diskette på min anden PC, og herefter forsøgt at installere på den "sygdomsramte" PC. Men lige lidt hjælper det, installationen forsvinder simpelthen under undersøgelsen. Kan det være den sk.... virus, der forårsager problemet under installationen?
Hvad gør jeg nu?
Avatar billede resten Nybegynder
22. januar 2004 - 18:10 #11
Dette er taget fra linket men det ser ud til du har prøvet det.

Der er rapporteret om en situation, hvor Blaster-ormen kan have inficeret visse systemer, inden MS03-026 [KB823980] blev installeret. Dette værktøj fjerner Blaster-ormen fra disse systemer. På systemer, hvor MS03-026 [KB823980] eller MS03-039 [KB824146] allerede er installeret, behøver du ikke at foretage dig yderligere, når først dette værktøj er installeret. Installer værktøjet for at fjerne ormen fra din computer.
Avatar billede pyna Nybegynder
22. januar 2004 - 18:27 #12
Du har ret - det er netop hvad jeg har prøvet. Jeg har forsøgt at installere efter "shutdown -a", men også uden, idet RPC ikke altid fremkommer. Jeg kan så i nogle minutter anvende internettet til download inden forbindelsen bliver kappet, men heller ikke i den tilstand er det muligt at installere KB823980.
Jeg har kørt en virusscan på www.trendmicro.com, og her haft programmet følgende:
"Worm Agobot.cc - C:\windows\system32\snloader.exe og C:\ -"- winhelp.
Jeg fjernede den første ved hjælp af Regedit, men kunne ikke finde den anden.
Jeg kører med Norman Firewall og virusscan, men dette program kunne ikke finde de to ovennævnte virusbefængte filer. Og jeg som ellers har været så godt tilfreds med dette program, idet det har holdt min anden PC clean gennem mere end 1 år.
Nå, men vi er jo ikke rigtig kommet videre, så er der andre gode forslag til installation af den manglende fil?
Avatar billede fromsej Praktikant
22. januar 2004 - 18:29 #13
Genstart lige, og lav en ny hijackthislogfil, så kigger jeg den igennem.
Jeg kan godt se den nu, men hvis du har fjernet noget i mellemtiden så.*S*
Derfor en ny log.
Avatar billede pyna Nybegynder
22. januar 2004 - 18:35 #14
Den kommer her:
Logfile of HijackThis v1.97.7
Scan saved at 18:34:12, on 22-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\AdGuard\ag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\sndloader.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Poul  Nymark\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {81B7840F-6889-4950-B555-E89C5E68B2EC} - C:\Programmer\AdGuard\adgnpu.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdGuard] C:\Programmer\AdGuard\ag.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38007.4832291667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede denmark77 Nybegynder
22. januar 2004 - 19:02 #15
nej på mine egne vejne.......jeg har selv harf problemet!!!!!!!!!#LOL#
Avatar billede denmark77 Nybegynder
22. januar 2004 - 19:04 #16
du mangler at opdatere windows.....
Avatar billede fromsej Praktikant
22. januar 2004 - 19:27 #17
Denmark77>>Hvor ser du manglende opdatering?
Servicepack1 er inde, og IE er den nyeste.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Sound Loader] sndloader.exe
O4 - HKLM\..\Run: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Configuration Loading] svchos1.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE


---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\System32\sndloader.exe
svchos1.exe =>> Brug Start=>Søg
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.
Avatar billede pyna Nybegynder
22. januar 2004 - 19:36 #18
OK, jeg forsøger, men bliver nok forsinket af håndboldlandskampen kl. 20:00, men jeg vender snarest tilbage. Er forøvrigt lige nu ved at køre en ny virusscan på www.trendmicro.com. Har endnu ikke resultatet.
Avatar billede pyna Nybegynder
22. januar 2004 - 19:46 #19
Seneste scanning gav følgende resultat:
Worm Agobot.CC - Non Cleanable - C:\windows\system32\winhlp
Dette blot til orientering.
Avatar billede pyna Nybegynder
22. januar 2004 - 20:12 #20
Jeg har slettet snloader.exe, men kunne ikke finde svchos1.exe, men derimod svchost.exe, som jeg forsøgte at slette, men blev nægtet adgang til det.
Logfilen ser nu således ud, og så går jeg til håndbold:

Logfile of HijackThis v1.97.7
Scan saved at 20:11:02, on 22-01-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\AdGuard\ag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Poul  Nymark\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {81B7840F-6889-4950-B555-E89C5E68B2EC} - C:\Programmer\AdGuard\adgnpu.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdGuard] C:\Programmer\AdGuard\ag.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38007.4832291667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede pyna Nybegynder
22. januar 2004 - 21:29 #21
Kunne starte PC'eren uden problemer, men en ny virusscanning hos Trendmicro fortæller stadig om denne virus: Worm Agobot.CC Non Cleanable - C:\windows\system32\winhlp.
Og så tilbage til 2. halveg af håndboldlandskampen.
Avatar billede pyna Nybegynder
22. januar 2004 - 22:04 #22
Seneste melding her fra vestkysten:
Det er nu lykkedes mig at installere MS03-26 (KB823980) og Windows-KB833330-dan.exe uden problemer. Så vidt så godt, men hvad med den virus i winhlp, som jeg stadig er lidt bekymret for?
Avatar billede pyna Nybegynder
22. januar 2004 - 22:10 #23
Nå, I er nok også blevet trætte, så jeg vil også gå i seng nu. Vi snakkes ved i morgen, hvis der er nye indlæg omkring sagen.
Avatar billede fromsej Praktikant
22. januar 2004 - 23:25 #24
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Så sletter du C:\windows\system32\winhlp , det er din virus.
De rigtige winhlp hedder Winhlp32, så tjek nøje efter.

Din log er ren nu, vi skal lige have knækket den virus.
Avatar billede pyna Nybegynder
23. januar 2004 - 11:58 #25
Jeg har fulgt ovenstående anvisning, men kan kun finde filerne "Winhlp32.exe" og "Winhlpp32.exe" i Windows\system32.
Når jeg kører en scanning med Trendmicro får jeg dog stadig en meddelelse om, at der er fundet en skadelig virus, nemlig "Worm Agobot.CC Non Cleanable - C:\windows\system32\winhlp"
Hvor pokker gemmer den sig mon henne?
Avatar billede aovergaard Nybegynder
23. januar 2004 - 12:27 #26
Prøv lige at hente dette prg. http://www.spywarefri.dk/tipsogtricks.htm#dr.delete

Den kan slette alle de filer som ellers ikke vil slettes. Men vær varsom, for her er der ikke noget som hedder fortryd.

Kopier denne linje ind i Dr.Delete: C:\windows\system32\winhlp  Så finder og fjerner dokteren den fil der.
Avatar billede pyna Nybegynder
23. januar 2004 - 18:39 #27
Siden I hørte fra mig sidst, har jeg talt med Microsoft, og fået dem til at sende en anvisning på sletning af den problematiske fil. Rettelsen foregik i REGEDIT, og jeg har slavisk fulgt deres anvisninger. Herefter har jeg foretaget en scanning hos www.bitdefender.com (foreslået af MS), og den viste ingen virus.
Mistroisk omkring virusbehandling, som jeg er, kørte jeg endnu engang on-line scanning hos Trendmicro.com, og endnu engang fik jeg en melding om en non cleanable file, nemlig c:\windows\system32\winhl...
I forhold til tidligere står der nu winhl... og ikke winhlp men om det har betydning ved jeg ikke. Som jeg tidligere har anført, kunne jeg visuelt kun finde filerne winhlp32.exe og winhlpp32.exe
Jeg har afprøvet aovergaards forslag på dr.delete, men får at vide, at filen winhlp ikke findes.
Men hvad pokker er det så for en fil, der hedder winhl... Jeg kan desværre ikke se mere af stregen, og højreklik hjælper heller ikke.
PC'eren kører nu uden RPC nedlukninger, men jeg bryder mig bestemt ikke om, at der forsat ligger en virus og driller.
Avatar billede fromsej Praktikant
23. januar 2004 - 18:46 #28
Jeg er så småt begyndt at tro det er Housecall der driller dig.
Tag en scanning med de andre onlinescannere, så må vi sammenligne resultatet.
http://www.spywarefri.dk/onlinevark.htm
Er din Harddisk Fat32 eller NTFS formateret?
Avatar billede pyna Nybegynder
23. januar 2004 - 18:57 #29
NTFS
Avatar billede pyna Nybegynder
23. januar 2004 - 19:00 #30
Jeg har forsøgt at lave en scanning på denne adresse:
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=ie&venid=sym
men når jeg starter scanningen op, bliver programmet "skudt ned" med øjeblikkelig virkning.
Avatar billede fromsej Praktikant
23. januar 2004 - 19:14 #31
Prøv Panda og RAV, jeg ser hvad jeg ellers kan finde på, knækkes skal den.
Avatar billede pyna Nybegynder
23. januar 2004 - 19:17 #32
Har lige kørt en "Panda Active Scan", og der blev ikke fundet virus.
Avatar billede pyna Nybegynder
23. januar 2004 - 19:44 #33
Har nu kørt McAfee's Stinger, der ikke fandt noget, og herefter Vintage Solutions, der fandt følgende fil corrupted: "C:\windows\system32\winhlpp32.exe
Denne fil kan jeg som tidligere omtalt godt finde på C:\windows og sikkert Delete, men "fromsej" har jo tidligere nævnt, at jeg skulle holde mig fra filerne med endelsen "32", så derfor vil jeg ikke gøre noget for slette ovennævnte fil, før I siger god for det.
Afventer nu jeres stillingtagen til sletning af winhlpp32.exe
Avatar billede fromsej Praktikant
23. januar 2004 - 19:54 #34
winhlpp32.exe er din virus, slet den.
Bemærk det ekstra "p", den rigtige fil hedder winhlp32.exe
Avatar billede pyna Nybegynder
23. januar 2004 - 20:01 #35
Done - og det ser ud til at jeg er helt ren nu. Sev trendmicro kunne ikke finde vira, så vi er nok ved at være ved vejs ende.
Jeg skal til spisebordet nu, men vender lige tilbage med nogle point senere.
Har jeg mulighed for at give flere point end de sølle 30, jeg har udlovet i dusør?
Avatar billede fromsej Praktikant
23. januar 2004 - 20:08 #36
Det var dejligt.*S*
Du kan godt hæve pointtal, men det behøver du ikke for min skyld, jeg har rigeligt i forvejen.*S*
http://expfaq.1go.dk/?id=33#flere_point_end_lovet
Hele vores FAQ er her:
http://expfaq.1go.dk/

Mvh:
Fromsej / Team spywarefri.
Avatar billede pyna Nybegynder
23. januar 2004 - 20:46 #37
OK, jeg har forsøgt at give jer 50 point hver ved at "selv angive point fordelingen" og klikke på "Accepter". Håber det er lykkedes.
Jeg synes I har ydet en meget engageret indsats, og er virkelig glad for, at der er "eksperter" at trække på, når tingene driller.
Jeg håber der vil gå laaaaang tid inden jeg igen får brug for jeres hjælp.
Hilsen Poul
Avatar billede fromsej Praktikant
24. januar 2004 - 09:46 #38
Tak for point.
Det er altid rart når tingene lykkes, selvom det tager tid en gang imellem.
For at gardere dig mod flere ubehagelige oplevelser på nettet, kan du lige tage et kig på vores pakkeløsning.
http://www.spywarefri.dk/pakken.htm
Mvh:
Fromsej/Team Spywarefri.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Windows kategorien

Titel Indlæg Oprettet Seneste aktivitet
Mærkeligt ikon på proceslinjen Af ErikHg i Windows 1 11/05/202618:27 11/05/202620:12
slet windows Af jajoh i Windows 2 10/05/202610:08 10/05/202611:05
Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows 13 07/05/202611:06 08/05/202615:05
Mister internettet efter slumre, Af valby i Windows 19 06/05/202610:01 12/05/202622:24
Download Win 11 - 25H2 Af ErikHg i Windows 15 02/05/202619:09 03/05/202623:05
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
I går 18:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
11/0513:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
White papers
Flere white papers »