Slå systemgendannelse fra

Højreklik på denne computer-egenskaber-der slår du fra

Jo.........men det kan jeg jo ikke !!

Du skal i systemgendannelse i system- sæt flueben i deaktiver systemgendannelse.

Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.

Kan den funktion ikke være deaktiveret i regdatabasen, på samme måde som når skidtet deaktiverer Regedit og internetindstillinger?

Det kan vi måske se, hvis du prøver denne vejledning:
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

OK Fromsej.

Spybot er kørt og afhjulpet og her er log fra Hijackthis:

Logfile of HijackThis v1.98.0
Scan saved at 12:38:11, on 17-07-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Administrator\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ofir.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Klik start | indstillinger | kontrol panel | system, fanebladet systemgendannelse.

Dette  er blot en anden vej derind, og jeg læser dine kommentarer som om du ikke kan højreklikke Denne Computer på skrivebordet. Det kan man ikke hvis man kører med xp-skrivebord, idet ikonet Denne Computer ikke er der. Den er der kun hvis man kører med klassisk skrivebord.

Flyt Hijackthis til en mappe oprettet til formålet.

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Hent denne scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart.

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
---------------------------------------

Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

---------------------------------------
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware
---------------------------------------
Hent og installer Servicepack 1, Hotfixpakken og Sasserfix her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3 - Sasserfix.
Opdater så online hos Microsoft.
---------------------------------------
Det skulle være det, der er ikke spor af hverken Sasser eller andet i den log, er der noget vi ikke kan se, snupper Kaspersky scanneren den.

Løsningen på dit problem lå desværre ikke der.

OK. Det var en ordentlig mundfuld. Grunden til jeg tror at det er Sasser er, at jeg førhen fik den boks hvor den tæller ned fra 1 min. Så installerede jeg en free firewall fra Zygate og nu har jeg så ikke problemet mere. Men virus er der vel stadig !! Men jeg vil prøve med det her.

Det er normalt ms.blast i een eller anden version, der gør det.

>> Men virus er der vel stadig !!
Nej det er faktisk ikke sikkert. Grunden til at den tæller ned er at den bliver angrebet via internettet, og det får en service til at lukke ned. Windows opdager det og vil genstarte for at få  servicen op igen. Derfor tæller den ned.
Men vi havde besøg af sasser på arb. og ud af de 50 maskiner som begyndte at genstarte, blev ikke en eneste inficeret. Så det er slet ikke sikkert at virus'en kom ind, hvilket din log også viser. Der burde have været noget i en RUN key, hvis den var kommet ind.

Så har jeg prøvet at køre nogle af programmerne igennem, og de viser ingen spor af virus. Så pc'en er vel clean, nu hvor jeg har fået firewall på! Jeg kan dog se at hver gang den starter op og lige er kommet ind på "skrivebord", kommer firewall med en blokerings-meddelelse, og det er vel føromtalte virus der banker på. Vil jeg så aldrig slippe af med den slambert!!!
I må iø. gerne smide et svar ind (til point)

Hvis du har flere pc'ere på dit netværk skal du lede efter virus'en på en af de andre pc'ere.
Hvis ikke du har andre pc'ere, og du istedet er koblet direkte op til internettet er der ikke noget du kan gøre ved det, idet det er en eller flere computere på nettet der er inficerede og angriber dig.

Som jeg skrev før, så er boksen kun et tegn på at du bliver angrebet, IKKE at du er inficeret.

Jeg lægger et svar hvis der skulle falde noget af ..

Hvis fromsej smidet et svar ind, kan han også få point.

*S*

Takker.

Tak for point.
Links til sikker surfing:
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.

Takker for point :)