Hjælp til installering af antivirusprogram i fejlsikertilstand

Prøv og hente www.avast.com og vælg friware,kom den på en usb nøgle,og installere den behøves ikke og registreres de første 30 dage.Husk nu og have nettet fra imens og finder den virussen så flyt den til virus kiste og bagefter går du i viruskisten og sletter det,
Husk og lad den skanne alle drev.

Tanke: Under normalt opstart (Uden internetstik/forbindelse tilsluttet!) hold [SHIFT] tasten nede lige ved Login ind billedet - og HOLD DEN til PC'en er faldet til 'ro'. Så undertrykkes evt. automatiske programmer i din opstart...

--------

Først skriver du at "...har så forsøgt at formatere PC´en..." og derefter "...vil helst undgå at skulle formatere..." ???

Kig lidt på http://www.helgec.dk/virus_etc.html

* Installerede avast vha en usb pind og det fandt ved dyb skaning viruset og de inficerede filer, der blev flttet til kisten og efterfølgende slettet.
* Jeg kan komme på nettet og har opdateret avast-programmet.
* Dog er følgende i udu:
    - C: drevet er utilgængelig / den kan ikke ses i ”denne computer”. Kan heller ikke starte stifinderen; der kommer en meddelelse ”Denne handling er blevet annulleret på grund af begrænsninger på computeren. Kontakt administratoren”
  - Kan se usb nøglen (derved kunne installere avast)
  - Kan ikke se ”alle programmer” ved ”start”.

Er vist tæt på at computeren igen er kørende, og håber blot på guldkorn om hvordan systemmet igen kan vise/giv adgang til stifinder og programmerne.

> karise lary
* Prøvede den gode fremgangsmåde med [SHIFT] tasten på adskellige måder, og pludselige kunne komme ind og installere avast programmet.
* Mht formatering. Det så ud som formatering var den eneste mulighed der var for at akomme videre/bruge computeren igen. Da formatering ikke blev muligt i første omgang kom jeg i tanke om dette her gode forum, og muligheden for at få hjelp til at undgå formatering og rede mit data ;o)

> helgec
Efter at jeg kunne komme på nettet har været inde og kigget ind på linket. Godt og nyttigt stof! Som skrevet i mit spørgsmål forsøgte jeg vha en usb pind at installere AVG, men det krævede adgang til internet, som systemmet/pc´en forhindrede. Derfor valget af avast i første omgang. På familiens anden computer har vi AVG sammen med spyboot, men den kører ofte langsomt efter de to blev installeret. Vil nu prøve din kombination og se om pc´en bliver hurtigere ;o)

... for en go' ordens skyld; stik os/mig en HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

NB: Ikke nødvendigvis pga virus ell. lign. men så ka' jeg se hvad der er i din opstart mm.

> karise larry

* hernede HJT scanning af maskinen. Jeg har brugt din anbefalet version fra Trendmicro.

* Explorer-browseren har været låst til at åbne på en "anti-virus" startside.

Det tog for resten noget tid at komme ind på forummet igen efter den ny opdatering da maskinen blev ved med at loge automatisk ved et pasword, der vist ikke passede. Det lykkedes at komme ind vha andet maskine.

----------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07: VIRUS ALERT!, on 03-02-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Malte\Skrivebord\Hijackthis\alternativ.exe
C:\Documents and Settings\Malte\Skrivebord\HiJackThis - 2\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: LPVideoPlugin - {91D287B0-6475-4850-ABDA-D730173A98CF} - C:\WINDOWS\system32\LPVideo.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmer\AVG\AVG8\avgtoolbar.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmer\AVG\AVG8\avgtoolbar.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKLM\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKLM\..\Run: [\YUR14.exe] C:\Windows\system32\YUR14.exe
O4 - HKLM\..\Run: [\YUR15.exe] C:\Windows\system32\YUR15.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Registry Helper] "C:\Programmer\Registry Helper\LaunchRegistryHelper.Exe" "C:\Programmer\Registry Helper\RegistryHelper.Exe" /boot
O4 - HKCU\..\Run: [Disk Cleaner] "C:\Programmer\Disk Cleaner\LaunchDiskCleaner.Exe" "C:\Programmer\Disk Cleaner\DiskCleaner.Exe" /boot
O4 - HKCU\..\Run: [\YUR12.exe] C:\Windows\system32\YUR12.exe
O4 - HKCU\..\Run: [\YUR13.exe] C:\Windows\system32\YUR13.exe
O4 - HKCU\..\Run: [\YUR14.exe] C:\Windows\system32\YUR14.exe
O4 - HKCU\..\Run: [\YUR15.exe] C:\Windows\system32\YUR15.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5120 bytes

YFFER PYFFER !!! Der er 'SNAVS* !!!

1) Hvor er M$ ServicePack3 + efterfølgende WindowsUpdate ???

2) Afinstall (hvis du kan/må)
* Disk Cleaner
* Registry Helper

3) Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

1) MS ServicePack3 + efterfølgende WindowsUpdate er installeret

2) Vha Ccleaner er Disk Cleaner samt Registry Helper fjernet fra opstarten, Ved ikke hvor de kan findes, hvis de helt skal slettes

3) Har installeret Malwarebytes og kørt et fuldstændigt systemscan, som fandt og fjernede inficerede filer.

Jeg kan nu komme ind på stifinderen

Der er dog følgende tilfælde:

* Marwarebyttes ikke længere finder noget ved skanning, men under skanningen finder avast 7 trusler som programmet enten ikke kan flytte truslerne til kisten - der kommer en meddelse om at "handlingen er ikke understøttet for denne type arkiv".

* Ved selvstændig avast skannning kan truslerne i først omgang flyttes til kisten, men så ved afslutning af skanningen kommer der en meddelse om "fejl ved flytning af filen til viruskisten"

Truslerne har navn: "C:\System Volume Information\_restore{3019AEAB-EE0D-484B-B7B4-6E27B4B57C88}\RP55\A0023097.exe\0.exe"

Hernede den sidste resultat fra Malwarebtytes samt "HiJackThis"

-----------------------------------------------------------------

Malwarebytes' Anti-Malware 1.33
Database version: 1728
Windows 5.1.2600 Service Pack 3
05-02-2009 23:33:52
mbam-log-2009-02-05 (23-33-52).txt
Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 81159
Tid tilbagelagt: 45 minute(s), 19 second(s)
Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0
Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)
Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)
Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)
Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)
Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)
Inficerede Mapper:
(Ingen mistænkelige filer fundet)
Inficerede Filer:
(Ingen mistænkelige filer fundet)
-----------------------------------------------------------------
HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:03, on 05-02-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Windows NT\Tilbehør\WORDPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Windows NT\Tilbehør\WORDPAD.EXE
C:\Programmer\Windows NT\Tilbehør\WORDPAD.EXE
C:\Documents and Settings\Malte\Skrivebord\Reparation af computeren\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Malte\Skrivebord\HiJackThis - 2\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~2\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 4484 bytes

Deaktiver systemgendannelse -> http://www.spywareinfo.dk/#/tip-og-tricks/deaktiver_systemgendannelse.htm
Genstart din computer - aktiver systemgendannelse. Dette gøres samme sted, hvor du deaktiverede, denne gang skal du blot aktivere.

Så er nævnte
C:\System Volume Information\_restore****
væk...

------------------------------------------------------------------------

Kør en scanning med Hijackthis,
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Genstart normalt...

------------------------------------------------------------------------

Hvordan kører PC'en så nu ?

> karise_larry
PC´en kører fint nu - der er hverken virus eller walware - råd og vejledningen har været helt i top. Stor tak!
Vil kombinationen AVG og SPYBOOT være en optimal værne mod angreb, eller findes noget bedre?
Jeg går ud fra, at når jeg sender det her som "svar", du bliver krediteret points, eller?
Min søn er i øvrigt ret imponeret over dit højt pointregnskab. Han var også ind og kigget på hemmingsvej og faldt over jeres hund og katte. Og læste at ballo havde computerspil og rollespil som interesser - troede det var en spøg, men opdagede så at teksten hørte til billedet ovenfor ;o)
> matcho
Det var et godt og hurtig råd, som jeg vil gerne give points til. Hvordan kan det?

Jeg mener kombinaton "AVAST/SPYBOOT". Om der findes noget bedre idet AVAST udløber om et par måneder

http://www.spywarefri.dk/sikkerhedspakken.html ?

Joooo - der er ½ zoo her i huset *G*

Joooo - har jo været her et stykke tid *S*

PS: Det er kun mig der skal lægge [svar] som her ... som du skal skal [acceptere] ...