Søg
Avatar billede coldasice Nybegynder
07. september 2004 - 11:46 Der er 8 kommentarer og
1 løsning

Særiøse virus/orm-problemer

Jeg har formateret min computer (nu for 4. gang), men der bliver ved med at være problemer.
Mange tilfælde af ormen Sandbox.w32...

Log fra hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 11:43:31, on 07-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer fra www\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=153636
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=153636
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=153636
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem301.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmer\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmer\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [RunServices] runsvc32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System Configurator] systemconfig.exe
O4 - HKLM\..\Run: [Configuration Load] MSltie.exe
O4 - HKLM\..\Run: [Configuration Loader] svchostss.exe
O4 - HKLM\..\Run: [Windows Configuration Loader] realplays.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] explorer.exe
O4 - HKLM\..\Run: [Configuration Loaded] dupdate.exe
O4 - HKLM\..\Run: [GLSetIT32] C:\winnt\system32\msiexec16.exe
O4 - HKLM\..\Run: [WINmouse] C:\WINNT\system32\umss.exe C:\WINNT\system32\debug.com
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ycsugsn] C:\WINNT\system32\pzhcehyf.exe
O4 - HKLM\..\Run: [msbb] c:\programmer\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programmer\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [bwfalsz] C:\WINNT\bwfalsz.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [Security Patches32] WinBasic32.exe
O4 - HKLM\..\RunServices: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\RunServices: [RunServices] runsvc32.exe
O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe
O4 - HKLM\..\RunServices: [Configuration Load] MSltie.exe
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
O4 - HKLM\..\RunServices: [Windows Configuration Loader] realplays.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] explorer.exe
O4 - HKLM\..\RunServices: [Configuration Loaded] dupdate.exe
O4 - HKLM\..\RunServices: [Security Patches32] WinBasic32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [System Configurator] systemconfig.exe
O4 - HKCU\..\Run: [Windows Configuration Loader] realplays.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] explorer.exe
O4 - HKCU\..\Run: [Security Patches32] WinBasic32.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab

Håber der er en der kan hjælpe, da jeg er ved at gå i spåner...
Avatar billede andersenph Nybegynder
07. september 2004 - 11:52 #1
Hejsa
Jeg kigger lige loggen igennem for dig...
Avatar billede andersenph Nybegynder
07. september 2004 - 12:06 #2
Først skal du åbne Hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Click på Fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=153636
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=153636

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem301.dll
O4 - HKLM\..\Run: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [RunServices] runsvc32.exe
O4 - HKLM\..\Run: [System Configurator] systemconfig.exe
O4 - HKLM\..\Run: [Configuration Load] MSltie.exe
O4 - HKLM\..\Run: [Configuration Loader] svchostss.exe
O4 - HKLM\..\Run: [Windows Configuration Loader] realplays.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] explorer.exe
O4 - HKLM\..\Run: [Configuration Loaded] dupdate.exe
O4 - HKLM\..\Run: [GLSetIT32] C:\winnt\system32\msiexec16.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ycsugsn] C:\WINNT\system32\pzhcehyf.exe
O4 - HKLM\..\Run: [msbb] c:\programmer\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programmer\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [bwfalsz] C:\WINNT\bwfalsz.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [Security Patches32] WinBasic32.exe
O4 - HKLM\..\RunServices: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\RunServices: [RunServices] runsvc32.exe
O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe
O4 - HKLM\..\RunServices: [Configuration Load] MSltie.exe
O4 - HKLM\..\RunServices: [Configuration Loader] svchostss.exe
O4 - HKLM\..\RunServices: [Windows Configuration Loader] realplays.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] explorer.exe
O4 - HKLM\..\RunServices: [Configuration Loaded] dupdate.exe
O4 - HKLM\..\RunServices: [Security Patches32] WinBasic32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System Configurator] systemconfig.exe
O4 - HKCU\..\Run: [Windows Configuration Loader] realplays.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] explorer.exe
O4 - HKCU\..\Run: [Security Patches32] WinBasic32.exe


Åbn en tilfældig mappe, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.


Søg efter disse filer:

C:\WINNT\nem219.dll>>>>slet kun filen nem219.dll
C:\WINNT\localNRD.dll>>>>slet kun filen localNRD.dll
C:\WINNT\wsem301.dll>>>>slet kun filen wsem301.dll
ssms.exe
runsvc32.exe
systemconfig.exe

MSltie.exe
svchostss.exe
realplays.exe
explorer.exe
dupdate.exe
C:\winnt\system32\msiexec16.exe>>>>slet kun filen msiexec16.exe
C:\Programmer\ISTsvc>>>>slet kun mappen
C:\Program Files\Internet Optimizer>>>>slet kun mappen Internet Optimizer
C:\WINNT\system32\pzhcehyf.exe>>>>slet kun filen
c:\programmer\180solutions>>>>slet kun mappen 180solutions
C:\Programmer\Power Scan >>>>slet kun mappen Power Scan
C:\WINNT\bwfalsz.exe>>>>slet kun filen bwfalsz.exe
C:\WINNT\conscorr.exe>>>>slet kun filen conscorr.exe
WinBasic32.exe


Læg godt mærke til placering og stavemåde, således at du ikke får slettet noget forkert.

Hent denne scanner:
http://www.mwti.net/antivirus/free_utilities.asp
Det er ligegyldigt hvilken af de 7 mirrors du bruger. Programmet er det samme.
Inde i opsætningen sætter du den til at scanne alt.
Kør scan/clean.

Derefter genstarter du og sender en ny log ind til check
Avatar billede andersenph Nybegynder
07. september 2004 - 12:07 #3
http://danborg.org/spy/HJT/hijackthis.exe
Brug forresten den nyeste Hijackthis næste gang du kopierer en log herind :O)
Avatar billede coldasice Nybegynder
07. september 2004 - 12:47 #4
Logfile of HijackThis v1.98.2
Scan saved at 12:45:27, on 07-09-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINNT\system32\CTHELPER.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programmer\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programmer\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmer\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
Avatar billede andersenph Nybegynder
07. september 2004 - 13:08 #5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
Denne skal lige fixes. Ellers er logge ok nu :O)

Gå i start -> programmer -> windowsupdate og scan efter opdateringer. Installer alle du får anbefalet.
Så er du kørende igen :O)
Avatar billede coldasice Nybegynder
07. september 2004 - 13:22 #6
Takker, smid lige en kommentar som svar, så du kan få dine point :)
Avatar billede andersenph Nybegynder
07. september 2004 - 13:24 #7
Kommer her :O)
Avatar billede coldasice Nybegynder
09. september 2004 - 12:23 #8
Glemte det lidt, men nu har du fået dem.... 1000 tak for hjælpen, det har kørt fint siden :)
Avatar billede andersenph Nybegynder
09. september 2004 - 21:18 #9
Jo tak for point.
Glæder mig at du fik det ordnet :O)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 21:05 Questyle M15i lydforstærker Af valby i Diverse
I går 18:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
I går 13:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
I går 10:48 Back up af foto til ekstern harddisk Af hkprofil i Office & Kontorpakker
10/0517:11 Har glemt navn på min ene konto på eksperten! Af ErikHg i Fri debat
White papers
Flere white papers »