Søg
Avatar billede buxxy Praktikant
26. februar 2004 - 15:29 Der er 11 kommentarer og
1 løsning

Virus?? Hjæælp

Hejsa.

Jeg har et irriterende prob. her på min kærestes pc.
Den kører win200-pro, og siden igår begyndte den med at når vi gen/starter pc kører det hele fint, indtil lyden kommer hvor win starter op. Så står den stille på den lyseblå baggrund, uden at komme ind i windows. Jeg kan dog komme ind, hvis jeg trykker CTRL-ALT-DELETE, og logger af, for derefter at logge på igen. Så kan man komme helt ind på skrivebordet. Så formaterede jeg til sidst, inst. win2000-pro igen, fuldt ud opdateret, samme med NAV også up2date.

Jeg har kørt NAV i fejlsikret tilstand, kørt Spybot S&D, samt har nu en HiJackthis log-fil.

Udover det sender jeg åbenbart emails hele tiden - NAV scanner dem på vejen ud.

Hvad gør jeg lige?? 

HiJackthis log:

Logfile of HijackThis v1.97.3
Scan saved at 15:19:25, on 26-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\serrv32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\SYSTEM32\gwrbf.exe
C:\WINNT\system32\syscall.exe
C:\WINNT\system32\serrv32.exe
C:\WINNT\system32\serrv32.exe
C:\Documents and Settings\Administrator\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [windows serrvices] serrv32.exe
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft] C:\WINNT\SYSTEM32\gwrbf.exe
O4 - HKLM\..\Run: [Micosoft Startup] syscall.exe
O4 - HKLM\..\RunServices: [windows serrvices] serrv32.exe
O4 - HKCU\..\Run: [windows serrvices] serrv32.exe
O4 - HKLM\..\RunOnce: [windows serrvices] serrv32.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.5409027778
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Mvh,
Buxxy.
Avatar billede arlet Juniormester
26. februar 2004 - 15:30 #1
løber den lige igennem
Avatar billede buxxy Praktikant
26. februar 2004 - 15:33 #2
Jeps, mange tak.
Avatar billede arlet Juniormester
26. februar 2004 - 15:35 #3
Du skal nu til at i gang med at fixe:

Deaktiver systemgendannelse:
http://www.arlet.dk/systemgendannelsen.htm

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.



O4 - HKLM\..\Run: [windows serrvices] serrv32.exe
O4 - HKLM\..\Run: [Microsoft] C:\WINNT\SYSTEM32\gwrbf.exe
O4 - HKLM\..\RunServices: [windows serrvices] serrv32.exe
O4 - HKCU\..\Run: [windows serrvices] serrv32.exe
O4 - HKLM\..\RunOnce: [windows serrvices] serrv32.exe



--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet i fejlsikret(f8 ved opstart):


C:\WINNT\system32\serrv32.exe
C:\WINNT\SYSTEM32\gwrbf.exe
C:\WINNT\system32\serrv32.exe
C:\WINNT\system32\serrv32.exe



Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.
Avatar billede arlet Juniormester
26. februar 2004 - 15:35 #4
Glem det med systemgendannelse, det har du ikke i w2k..
Avatar billede buxxy Praktikant
26. februar 2004 - 15:37 #5
jeps ordner det lige...
Avatar billede buxxy Praktikant
26. februar 2004 - 15:44 #6
ehh hvad skal jeg slette det med i fejlsikret tilstand?  NAV, Hijackthis, eller?
Avatar billede arlet Juniormester
26. februar 2004 - 15:48 #7
ikke med noget, manuelt.

du går på c-drevet og i system32 mappen osv...
Avatar billede buxxy Praktikant
26. februar 2004 - 16:01 #8
Så er det ordnet, men de sidste 4 på c: jeg slettede, der var kun en af dem drer hedder: serrv32.exe

Her kommer log-fil
Logfile of HijackThis v1.97.3
Scan saved at 16:00:22, on 26-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\syscall.exe
C:\Documents and Settings\Administrator\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Micosoft Startup] syscall.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38042.5409027778
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Avatar billede buxxy Praktikant
26. februar 2004 - 16:16 #9
Jeg mener af dem jeg skulle slette på c: fik jeg slettet gwrbf.exe også serrv.exe (der var ikke 3 der hed serrv.exe)
Avatar billede arlet Juniormester
26. februar 2004 - 16:28 #10
Så er du ren

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan hente her : www.arlet.dk/pakke.htm
Avatar billede buxxy Praktikant
26. februar 2004 - 16:29 #11
Jeps mange tak!

Jeg skal lave mappeindstillingerne om igen, ikke?

Mvh.
Buxxy.
Avatar billede arlet Juniormester
26. februar 2004 - 16:31 #12
jo, det skal du*S*

og velbekommen
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 01:57 Tjek alle checkbox i form Af bsn i ASP
17/0521:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
White papers
Flere white papers »