Søg
Avatar billede scape-goat Nybegynder
12. marts 2004 - 18:44 Der er 43 kommentarer og
1 løsning

evt BIOS virus ?

Hej

Jeg har i nogen tid haft problemer med virus. Har fået hjælp herinde fra før, og I har gjort min com ren bl.a. ved hjælp af HiJackThis, men der går ikke lang tid før jeg har virus igen! Jeg kan ikke forstå hvis jeg er så uheldig og få virus bare ved at surfe på nettet, da jeg har alle opdateringer fra microsoft installeret + antivirusprogram + firewall + spywareblaster og andet til at holde spyware ude.

Pt lukker mit antivirusprogram og spywareguard ned, en af de tilbagevendende viruser er: Worm Randex.gen  den ligger: C:\WINNT\system32\netd32.exe

Jeg frygter at jeg har fået virus i min bios, men ved ikke hvordan jeg skal tjekke det eller bliver den også tjekket når man bruger HiJackThis?
Avatar billede arlet Juniormester
12. marts 2004 - 18:53 #1
Online scan med panda/housecall her :     http://www.arlet.dk/faeetvirus.htm

Husk at slå en evt systemgendannelse fra først
Avatar billede arlet Juniormester
12. marts 2004 - 18:55 #2
Hvis de ikke finder noget, så kom med en hijackthis : http://www.arlet.dk/hjt.htm
Avatar billede scape-goat Nybegynder
12. marts 2004 - 18:56 #3
har jeg lige kørt, den fandt 5 vira. Den slettede de 4, men den ovennævnte kunne den ikke slette, da den var i brug. Det er dog ikke det største problem synes jeg ikke, det er at det vender tilbage igen og igen...
Avatar billede magictouch Nybegynder
12. marts 2004 - 19:02 #4
arlet> tid til denne engang?
http://www.eksperten.dk/spm/476150

Sorry for spam;(
Avatar billede arlet Juniormester
12. marts 2004 - 19:06 #5
Hvilke antivirus program har du??
Avatar billede scape-goat Nybegynder
12. marts 2004 - 19:13 #6
norman, (tdc´s "sikkerhedspakke)
Avatar billede arlet Juniormester
12. marts 2004 - 19:17 #7
find denne manuelt og slet den: C:\WINNT\system32\netd32.exe

hvis du ikke kan få lov, så gør det i fejlsikret.


Og Norman er opdateret??
Avatar billede scape-goat Nybegynder
12. marts 2004 - 19:34 #8
filen er slettet i fejlsikret tilstand, ved opstart kommer der nu en popup "WINS32 - [Status] - jeg opdaterede norman i tirsdags eller onsdags. Jeg kan dog ikke køre update nu, da den kommer med en fejl
Avatar billede scape-goat Nybegynder
12. marts 2004 - 19:42 #9
Prøvede lige og trykke opdater igen, denne gang lykkes det at køre funktionen, den sagde at jeg havde den seneste opdatering indstalleret
Avatar billede magictouch Nybegynder
12. marts 2004 - 19:52 #10
Prøv at hent en zip fil her og kør den- Automatic removal: http://www.2-spyware.com/parasite-surferbar.html
Avatar billede scape-goat Nybegynder
12. marts 2004 - 20:21 #11
Jeg har hentet en zip fil kaldet tsc.zip og kørt spyhunter. den fandt kun 1 cookie
Avatar billede magictouch Nybegynder
12. marts 2004 - 21:10 #12
Der er sikkert mere og det med de virus der vender tilbage, vil jeg foreslå at du lige tjekker med Hijackthis, som arlet henviser til;)
Avatar billede scape-goat Nybegynder
12. marts 2004 - 21:28 #13
Her loggen, de tilbagevendende er irbme.exe og cmd32.exe. med denne log sikre man sig også imod virus i bios ?

Logfile of HijackThis v1.97.7
Scan saved at 21:28:02, on 12-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\Winamp\winampa.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows NNT] C:\WINNT\SYSTEM32\fqdvdvz.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [Randex virus built for IRBMe] irbme.exe
O4 - HKLM\..\Run: [Ass and titties] cmd32.exe
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [Randex virus built for IRBMe] irbme.exe
O4 - HKLM\..\RunServices: [Ass and titties] cmd32.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede thesurfer Nybegynder
12. marts 2004 - 21:58 #14
** Fixes, med mindre at du selv har valgt siden om start side:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/

** Fixes (snavs):
O4 - HKLM\..\Run: [Windows NNT] C:\WINNT\SYSTEM32\fqdvdvz.exe
O4 - HKLM\..\Run: [Randex virus built for IRBMe] irbme.exe
O4 - HKLM\..\Run: [Ass and titties] cmd32.exe
O4 - HKLM\..\RunServices: [Randex virus built for IRBMe] irbme.exe
O4 - HKLM\..\RunServices: [Ass and titties] cmd32.exe

** Fixes (overflødigt):
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


** slettes fejlsikret tilstand (tryk F8 ved opstart, lige før logoet kommer frem)
Tryk på F3 (sørg for at søge på hele computeren), søg på og slet følgende:
irbme.exe (ligger sikkert i "C:\WINNT\System32\")
cmd32.exe (ligger sikkert i "C:\WINNT\System32\")


** genstart og kom med en ny log
Avatar billede thesurfer Nybegynder
12. marts 2004 - 21:59 #15
hovsa.. rettelse:

** slettes fejlsikret tilstand (tryk F8 ved opstart, lige før logoet kommer frem)
Tryk på F3 (sørg for at søge på hele computeren), søg på og slet følgende:
fqdvdvz.exe (ligger i "C:\WINNT\SYSTEM32\")
irbme.exe (ligger sikkert i "C:\WINNT\System32\")
cmd32.exe (ligger sikkert i "C:\WINNT\System32\")
Avatar billede scape-goat Nybegynder
13. marts 2004 - 02:41 #16
så nu har jeg gjort ovenstående.

Logfile of HijackThis v1.97.7
Scan saved at 02:42:00, on 13-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede scape-goat Nybegynder
13. marts 2004 - 14:36 #17
Har lige lavet en ny log i HJT, og tror der er virus igen. Så vidt jeg kunne se var der ik noget særligt i ovenstående (men ved meget lidt om hjt).

Det er denne O4 - HKLM\..\Run: [Windows driver update] C:\WINNT\system32\dmsvc32.exe som jeg tror er en ny virus, en der kan be- eller afkræfte det ?


Logfile of HijackThis v1.97.7
Scan saved at 14:29:43, on 13-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Norman\Nvc\Bin\npfmsg2.exe
C:\WINNT\system32\dmsvc32.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Winamp\winamp.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [Windows driver update] C:\WINNT\system32\dmsvc32.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede thesurfer Nybegynder
13. marts 2004 - 14:59 #18
** Fixes (snavs):
O4 - HKLM\..\Run: [Windows driver update] C:\WINNT\system32\dmsvc32.exe

** Fixes (med mindre at du selv har valgt denne startside):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/

** slettes fejlsikret tilstand (tryk F8 ved opstart, lige før logoet kommer frem)
C:\WINNT\system32\dmsvc32.exe
Avatar billede scape-goat Nybegynder
13. marts 2004 - 15:12 #19
det er en startside jeg selv har valgt.

jeg har slettet ovenstående, men får dog stadig en fejlboks med system error, når jeg stadig, jeg kan dog bare klikke ok og så går den væk, men det må vel stadig være lidt virus ?

Logfile of HijackThis v1.97.7
Scan saved at 15:09:32, on 13-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede thesurfer Nybegynder
13. marts 2004 - 15:17 #20
Hvad står der i fejlboksen? Hvordan ser den ud?
Avatar billede scape-goat Nybegynder
13. marts 2004 - 15:22 #21
selve popup´en hedder WINS32. Der er et faneblad som hedder status, trykker man på fanebladet er der bare en hvid side. det er det eneste der er i popup´en.

Yderligere kommer der en lille popup med navnet "System Error" i den står der Unable to open dialog. Det kan man kun klikke ok til
Avatar billede thesurfer Nybegynder
13. marts 2004 - 15:31 #22
Det kan være at det er "Troj/JSurf-B": http://www.sophos.com/virusinfo/analyses/trojjsurfb.html

Tryk CTRL+ALT+DEL, klik på "Task manager" og derefter "Processer". Se om der er en fil der hedder "wins32.exe" i listen.

Du skulle også kunne finde den, hvis du trykke på F3 (søgning) og indtaster "wins32.exe" (uden "") som filnavn.
Gør det og skriv lige placeringen af filen.
Avatar billede scape-goat Nybegynder
13. marts 2004 - 15:34 #23
jeg kan hverken finde den under processer eller ved at søge efter den
Avatar billede thesurfer Nybegynder
13. marts 2004 - 15:36 #24
OK, tag en scanning med TrojanHunter: http://www.webattack.com/get/trojanhunter.shtml
Download Trial udgaven.
Avatar billede scape-goat Nybegynder
13. marts 2004 - 15:52 #25
Registry scan
No suspicious entries found

Inifile scan
No suspicious entries found

Port scan
No suspicious open ports found

Memory scan
No trojans found in memory

File scan
Error: Directory not found: A:\

Found possible trojan file: C:\WINNT\system32\dualarm.exe (Suspicious: UPX-packed file in Windows System folder)    

Warning: Unable to unpack UPX-packed file C:\WINNT\system32\etc\an.exe    

Found possible trojan file: C:\WINNT\system32\etc\an.exe (Suspicious: UPX-packed file in Windows System folder)    

Warning: Unable to unpack UPX-packed file C:\WINNT\system32\etc\g.exe    

Found possible trojan file: C:\WINNT\system32\etc\g.exe (Suspicious: UPX-packed file in Windows System folder)    

Found possible trojan file: C:\WINNT\system32\etc\wsock32.exe (Suspicious: UPX-packed file in Windows System folder)    

Error: Directory not found: F:\
4 possible trojan files found

Der var noget.. hvad skal jeg gøre ved dem ?
Avatar billede thesurfer Nybegynder
13. marts 2004 - 16:11 #26
wsock32.exe = "W32.HLLW.Donk.B": http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.donk.b.html

Undersøger lige sagen..
Avatar billede thesurfer Nybegynder
13. marts 2004 - 16:16 #27
Download og kør "DCOMbobulator": http://www.grc.com/dcom/
Avatar billede thesurfer Nybegynder
13. marts 2004 - 16:20 #28
hmm.. jeg får en ide..
Efter DCOM, genstarter du.. og hvis du får fejlboksen igen, skal du køre hijackthis INDEN du klikker "OK".. smid loggen herind..
Vi må, på den måde, se hvor filen køres fra..

Kig også i din start menu > programmer > start
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:30 #29
jeg fik fejlboksen igen..

Logfile of HijackThis v1.97.7
Scan saved at 16:31:35, on 13-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:31 #30
I "start menu > programmer > start" ligger der kun SpywareGuard
Avatar billede arlet Juniormester
13. marts 2004 - 16:36 #31
Kan jeg lokke dig til at lave et screenshot af fejlmeddelsen og sende
til arlet @ arlet . dk
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:49 #32
så nu skulle den være sendt. hvis det er for dårlig kvalitet kan jeg godt sende en i bedre kvalitet.. fylder jo bare så meget
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:50 #33
jeg skal til kobberbryllup nu, så vil først have mulighed for at afprøve jeres nye forslag i morgen...
Avatar billede fromsej Praktikant
13. marts 2004 - 16:51 #34
Arlet>>Send den lige til mig også.*S*
Avatar billede arlet Juniormester
13. marts 2004 - 16:51 #35
Nej, det er fint. Hvornår kommer den frem, den meddelse??
Avatar billede arlet Juniormester
13. marts 2004 - 16:52 #36
Fromsej -> Er sendt
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:52 #37
lige når com er startet op, hvis du kigger godt efter er SS taget før norman og trojanhunter er startet op..
Avatar billede scape-goat Nybegynder
13. marts 2004 - 16:53 #38
der er det der røde kryds for dem
Avatar billede scape-goat Nybegynder
14. marts 2004 - 14:14 #39
Jeg går ud fra I ikke fik noget ud af billedet. Ang. de trojanere som trojanhunter fandt, kan jeg ikke bare slette filen hvori de blev fundet, eller vil der ske noget ved det?

Found possible trojan file: C:\WINNT\system32\dualarm.exe (Suspicious: UPX-packed file in Windows System folder)   

Warning: Unable to unpack UPX-packed file C:\WINNT\system32\etc\an.exe   

Found possible trojan file: C:\WINNT\system32\etc\an.exe (Suspicious: UPX-packed file in Windows System folder)   

Warning: Unable to unpack UPX-packed file C:\WINNT\system32\etc\g.exe   

Found possible trojan file: C:\WINNT\system32\etc\g.exe (Suspicious: UPX-packed file in Windows System folder)   

Found possible trojan file: C:\WINNT\system32\etc\wsock32.exe (Suspicious: UPX-packed file in Windows System folder)   

Error: Directory not found: F:\
4 possible trojan files found


Jeg har fået et tip fra en af mine venner. Han mente at jeg kunne tage batteriet ud af bundkortet og derved resette alt - har I nogen erfaring med det ?
Avatar billede arlet Juniormester
14. marts 2004 - 14:17 #40
Scan de filer med kaspersky, hvis den siger de er inficeret, så sletter du dem
http://www.arlet.dk/kaspersky.htm
Avatar billede scape-goat Nybegynder
14. marts 2004 - 15:08 #41
Har scannet dem med kaspersky. den fandt virus i C:\WINNT\system32\dualarm.exe som jeg slettede. Derefter genstartede jeg og nu er den popup væk :)

Så kørte jeg AdAware den fandt en trojan, som jeg har slettet.

Har også kørt en alm scanning af virus, spyhunter, spybot disse fandt intet.

Desuden har jeg lige kørt trojanhunter den fandt 3 mulige infiserede, det er de sidste 3 af de 4 ovenfor..

Jeg kan ikke gå på nettet, den siger at den ikke kan åbne søgesiden explorer. Når jeg skriver i adresse feltet kommer bogstaverne meget langsomt frem. Her er en log

Logfile of HijackThis v1.97.7
Scan saved at 15:05:42, on 14-03-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\TrojanHunter 3.8\TrojanHunter.exe
C:\Documents and Settings\Michael\Skrivebord\HiJackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euroinvestor.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvListnr] C:\Programmer\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft IE Execute shell] C:\WINNT\Microsoft.NET\Framework\v1.0.3705\IEExec.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.8\THGuard.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programmer\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.3540046296
Avatar billede scape-goat Nybegynder
14. marts 2004 - 15:14 #42
omvendt, Internet Explorer kan ikke åbne søgesiden..
Avatar billede shift Nybegynder
14. marts 2004 - 16:18 #43
hvis han nu ikke har noget han vil gemme, kan han så ikke formatere og tage batteriet ud af bundkortet, og restarte bios - har virussen så noget sted at gemme sig?
Avatar billede scape-goat Nybegynder
18. marts 2004 - 22:02 #44
Det ved jeg ik lige om jeg tør
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 01:57 Tjek alle checkbox i form Af bsn i ASP
17/0521:35 Lidt simpel (håber jeg) Photoshop hjælp Af fcs i Billedbehandling
16/0516:04 Canon printer vil ikke udskrive farver Af mort1 i Printere
16/0514:50 Hvilket fabrikat af Mesh systemer virker? Af fkj i Wifi
15/0513:45 AJAX kode -javascript Af Asky i Programmeringsværktøjer
White papers
Flere white papers »