Formatering hjælper ikke på VIRUS

En FULD formatering vil altid (*) rydde evt. virus og andet utøj!

De sædvandlige spørgsmål:
Hardu fuld WindowsUpdate ?
Har du seriøst sikkerhedsprogram ?
Har du korrekte driverpakker ?
Støv, snavs, nullermænd/damer ?

(*) Teoretisk set kan en slags BIOS 'virus' blive hængende. Teoretisk set kan også du få en ko i hovedet midt ude på vejen. *G*

tak for dit svar.
- Ja jeg har fuldt opdateret med windowsupdate
- kender ikke andre gode sikkerhedsprogrammer end Nod32
- Jeg har de korrekte drivere
- jeg har fjernet støv, snavs osv.

forresten jeg vælger NTFS, når jeg formattere XP.

(Andre i denne tråd ?)

Jeg vil da gerne se logs fra Combofix Hijackthis og Malwarebyte's

Hvis du har formateret den, er der ikke noget utøj tilbage.

Med mindre du har lagt gamle data ind, eller haft internetforbindelse tilsluttet under installationen og været meget uheldig

jeg har desværre formateret min computer igen, da jeg ville prøve at slå nettet fra under installering. I den sammenhæng valgte jeg også ikke at tage nogle af mine ting fra min eksterne harddisk over på den nyformaterede computer.
Jeg vil så hurtigt som muligt få de logs tilbage!

Tak for jeres svar

Den første fra Malwarebytes


Malwarebytes' Anti-Malware 1.40
Database version: 2758
Windows 5.1.2600 Service Pack 3

08-09-2009 06:12:04
mbam-log-2009-09-08 (06-12-04).txt

Skan type: Fuldstændig skanning (C:\|D:\|E:\|)
Objekter skannet: 92407
Tid tilbagelagt: 6 minute(s), 29 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 1
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)

Jeg er godt nok stoppet på eksperten, men denne tråd pirrer nu alligevel min nysgerrighed. Det pointeres at hvis computeren er formateret er den også virusfri, det er så ikke min erfaring, men lad det nu ligge. Jeg går ud fra at vi er enige om at man stadig kan gendanne data fra en harddisk der er formateret, hvorfor er det så lige stensikkert, at virus ikke har overlevet ??

#9 Du skal forstå hvordan en virus eller andet programkode virker. For at blive afviklet skal der jo være en "aktiv" henvisning til det et sted. Alle sådanne henvisninger forsvinder normalt ved en formatering.

...kan gendanne data fra en harddisk der er formateret... - men der skal 3. part special software/værktøj til. Der er ikke noget 'utøj' / virus som kan gendanne sig selv FRA en 100% formateret HD...

Det er nok mere et problem at brugeren (uden at vide det?) lader internet forbindelse være 100% aktiv hele vejen igennem...

LOG fra comboFix

ComboFix 09-09-08.01 - Administrator 08-09-2009  6:17.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.2047.1439 [GMT 2:00]
Kører fra: c:\documents and settings\Administrator\Dokumenter\Hentede filer\combo fic\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Administrator\Dokumenter\Hentede filer\combo fic\CFScript.txt
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((  Filer skabt fra 2009-08-08 til 2009-09-08  )))))))))))))))))))))))))))))))))))
.

2009-09-08 04:04 . 2009-09-08 04:04    --------    d-----w-    c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-09-08 04:04 . 2009-08-03 11:36    38160    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-08 04:04 . 2009-09-08 04:04    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-08 04:04 . 2009-09-08 04:04    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-09-08 04:04 . 2009-08-03 11:36    19096    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-09-08 04:01 . 2009-09-08 04:02    --------    d-----w-    c:\programmer\CCleaner
2009-09-08 03:10 . 2009-09-08 03:10    604140    --sha-w-    c:\windows\system32\drivers\ISwift3.dat

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-08 04:15 . 2004-01-01 00:09    --------    d---a-w-    c:\documents and settings\All Users\Application Data\TEMP
2009-08-24 13:05 . 2004-01-01 00:37    206256    ----a-w-    c:\windows\system32\drivers\PCTCore.sys
2009-08-19 10:01 . 2004-01-01 00:37    86888    ----a-w-    c:\windows\system32\drivers\PCTAppEvent.sys
2009-08-14 05:58 . 2004-01-01 00:37    7396    ----a-w-    c:\windows\system32\drivers\pctcore.cat
2009-07-03 14:48 . 2009-07-03 14:48    219664    ----a-w-    c:\windows\system32\klogon.dll
2009-07-03 14:45 . 2009-07-03 14:45    27507    ----a-w-    c:\windows\system32\drivers\klopp.dat
2009-06-15 13:01 . 2009-06-15 13:01    128016    ----a-w-    c:\windows\system32\drivers\kl1.sys
.

------- Sigcheck -------

• 2009-02-17 . C75303C811202D68AA2DE5694374E449 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
  

.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Administrator\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe" [2004-01-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-09 86016]
"avp"="c:\programmer\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-07-03 303376]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-03-09 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2003-03-20 1855488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-04-15 101376]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15-12-2008 21:41 33808]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [01-01-2004 02:37 206256]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13-05-2009 18:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16-05-2009 21:59 19472]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programmer\Spyware Doctor\pctsAuxs.exe [01-01-2004 02:36 348752]

--- Andre Services/Drivers i Hukommelsen ---

*NewlyCreated* - KLBG
.
Indhold af mappen 'Planlagte Opgaver'

2004-01-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1958367476-1417001333-500Core.job
- c:\documents and settings\Administrator\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe [2004-01-03 02:27]

2009-09-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1958367476-1417001333-500UA.job
- c:\documents and settings\Administrator\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe [2004-01-03 02:27]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\qlm8awy5.default\
FF - component: c:\programmer\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\documents and settings\Administrator\Lokale indstillinger\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll

---- FIREFOX POLITIKKER ----
c:\programmer\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".dk");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-08 06:20
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
------------------------ Andre kørende processer ------------------------
.
c:\windows\system32\rundll32.exe
c:\documents and settings\Administrator\Lokale indstillinger\Application Data\Google\Update\1.2.183.7\GoogleCrashHandler.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Gennemført tid: 2009-09-08  6:21 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-09-08 04:21

Pre-Kørsel: 21.966.630.912 byte ledig
Post-Kørsel: 21.915.049.984 byte ledig

133

Hijack loggen


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:24:47, on 08-09-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Documents and Settings\Administrator\Lokale indstillinger\Application Data\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avp] "C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: &Virtuelt tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: URL-&kontrol - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmer\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmer\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmer\Spyware Doctor\pctsSvc.exe

--
End of file - 3981 bytes

#11
Jeg formaterede computeren, hvor jeg havde taget netkaplet ud, selv inden jeg satte cd'en i. Jeg satte det først i da jeg havde installeret alle drivere. men her gik der dog alligevel 10 min, før den frøs første gang.

... Kan den også finde på det UDEN internetforbindelse overhovedet ?

Find og upload denne fil hos Jotti eller Virustotal:

c:\windows\system32\sfcfiles.dll

http://virusscan.jotti.org/ - http://www.virustotal.com/en/indexf.html

Du skal måske slå vis skjulte filer og mapper til.

Hvis du ikke ved hvordan så se her:
http://www.it-artikler.dk/2008/03/05/vis-skjulte-filer-og-mapper/

Kopier resultatet herind

Helgec

Dit indlæg fanger nu min interesse. Ikke fordi det er dig -) men fordi jeg godt kan se logikken i, hvad du skriver.

Jeg har altid taget det som en selvfølge, at virusen var helt væk efter en killdisk eller formatering.

Det er vel ikke en selvfølge, at den er væk, når man kan gendanne data. Det er overskrevne data, der er tilbage på hardisken.

http://www.eksperten.dk/spm/840886

Lyder som en hardware fejl!

Virus teorien er teori, og har aldrig hørt om en virus der kan gendanne sig selv med dertil hørende henvisninger til systemet.

I så tilfælde skal du have fået en af de uhyre sjældne virusser der kan skrive sig selv ind i hardwaren...

Nej, hvis problemet "bare" er at computeren "halvfryser" (mus kan stadig bevæges, så er jeg af den fulde og faste overbevisning at fejlen ligger i noget hardware.

Du kan lave en chkdsk, klik start, klik denne computer, højre klik på det drev du vil have undersøgt og vælg egenskaber, funktioner, så klikker du undersøg nu, der skal flueben i de to firkanter og klik start og ok du skal så genstarte komputeren og den undersøger så harddisken for fejl og retter dem måske, du skal lade den køre færdig.

Eller denne.
Læg din XP cd i drevet og boot op på den, tryk på en tast for at fortsætte  første gang du får mulighed for det tryk på " R " for at reparere.
Når Windows Genoprettelseskonsollen er startet, får du vist følgende meddelelse:
Microsoft Windows(R) Genoprettelseskonsol

Genoprettelseskonsol indeholder funktioner til systemreparation og -genoprettelse.
Skriv EXIT for at afslutte Genoprettelseskonsol, og genstart computeren, skal kun gøres
Hvis du vil afslutte nu.

1: C:\WINDOWS
(Hvis den spørger efter admin.kode og du ikke bruger nogen, så tryk blot på Enter)
Har du kode så indtast og tryk enter.

Hvilken Windows-installation vil du logge på, tast: 1        (+tryk på ENTER )
Efter : <C:\WINDOWS > Skriver du nu:  chkdsk c: /p /r  (+tryk på ENTER ) husk afstand mellem c: og / 
Når den er færdig med at scanne, skriv: Exit + enter

Uden XP skive.
Gå i start, kør og skriv cmd klik enter, du kan nu ud for den blinkende Kørser skrive chkdsk /f/r klik enter, du bliver nu
spurgt om du vil udføre handlingen ved næste genstart, tast j for ja, så skriver du exit og klik enter
Genstart nu,  lad den køre færdig, kan tage ½ til en time.

#18
Jeg fik jo også det samme problem på min bærbare computer, så jeg skulle jo være rimelig uheldig, hvis hardwaren på begge computere gik af på samme tidspunkt.

Jeg kan se du har formateret igen. Har du stadig problemer? Hvis du har, vil du så godt køre http://www.eksperten.dk/guide/1232 igen og lægge logs herind.

#21
Disse logs, der er lagt ind, er dem jeg har lavet efter min sidste formatering af min stationære computer.

Vil du så godt gøre som jeg bad dig om her:
http://www.eksperten.dk/spm/886000#reply_7448835

ja.. den fandt intet både http://virusscan.jotti.org/ eller http://www.virustotal.com/en/indexf.html. Men end til videre har jeg ikke oplevet nogle problemer med min stationære (30 min gået)efter jeg lavede en såkaldt chkdsk #19

Du kører tilsyneladende med to Antivirus:
AV: Kaspersky Internet Security
AV: Spyware Doctor with AntiVirus

Du bør afinstallere det ene.

Denne c:\windows\system32\CTFMON.EXE hører normalt til Microsoft Office pakken, når det er en legitim fil. Jeg ser bare ikke andre tegn på Office? Hvis du ikke har/har haft Office på den efter formatering, vil jeg gerne ha' du også uploader den.

Kopier resultatet herind

har slettet Spyware Doctor, ville bare se om det kunne hjælpe.
både http://virusscan.jotti.org/ og http://www.virustotal.com/en/indexf.html. fandt intet

Forresten chkdsk hjalp ikke alligevel

Hent og installer denne scanner:
http://www.superantispyware.com/superantispywarefreevspro.html

Start superantispyware, klik på Check for updates, når det er opdateret skal du lade det skanne din computer
(Fixed disk betyder harddisk)
Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.
Luk programmet, genstart normalt.

Start så superantispyware, klik på preferences, statitics/logs, view log. Indholdet af denne log må du gerne kopiere herind.

Angående formatering og virus. Er det ikke muligt, at en formateret
virus kan genoplives gennem internettet?
Ved ikke om det er rigtigt, men jeg har engang læst, at nogle virus
er bygget, så de gendanner sig selv efter formatering.

samsonjens - Killdisk er jo noget andet, den overskriver virus,
som derved bliver helt ødelagt, det gør formatering ikke.

...det gør formatering ikke... - en 100% fuld formatering (som man selvfølgelig bruger) overskriver også...

Hvordan kan man så gendanne slettede data efter en formatering?
Det kan man ikke efter Killdisk. Eller for den sags skyld efter
Paragon Disk wiper o.a.

"...det gør formatering ikke... - en 100% fuld formatering (som man selvfølgelig bruger) overskriver også"

Rigtig mange der har experimenteret med Linux oplever efterfølgende at uanset hvor meget du formaterer så vil du efter installation af f.eks. XP blive mødt denne meddelse under boot

GRUB boot
error ??

Dette indikerer at MBR IKKE er blevet renset under formateringen så teorien om at en formatering overskriver alt er nu noget diffus

Jeg tror heller ikke nogen har påstået, at en formatering rører ved andet end den partition hvorpå formateringen foregår.

Er man bange for at MBR'en er blevet ramt af noget skidt, så kan man genskrive den med en ren. Det er én sektor vi snakker om.

"Er man bange for at MBR'en er blevet ramt af noget skidt, så kan man genskrive den med en ren. Det er én sektor vi snakker om. "
Det er vist nok normalt at installationen klarer det problem og den fejlmelding jeg beskriver kan kun rettes med f.eks, KILLDISK i hvertfald i de tilfælde jeg har oplevet

Et hvert program som kan genskabe en normal Windows-MBR kan afhjælpe det problem.

Tja !! en ting bliver jo ikke mere rigtig af at blive gentaget. jeg vil nøjes med at konstatere. at nogen måske skulle undlade at udtale sig om noget de har utrolig lidt viden om

#28
Jeg vil forsøge at foretage en scanning med superantispyware og ligge de logs ind, herefter vil jeg forsøge med en KILLDISK metode. Igen tak for jeres hjælp.

Tja !!

Enig m. ksoren2 :)

Download mbr.exe  til skrivebordet

http://www2.gmer.net/mbr/mbr.exe

Dobbeltklik på mbr.exe og følg vejledning
Når "mbr.exe" er kørt vil den oprette en logfil som ligger på skrivebordet (mbr)

Kopier indholdet af den logfil herind i din næste svar

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/10/2009 at 07:21 PM

Application Version : 4.28.1010

Core Rules Database Version : 4093
Trace Rules Database Version: 2033

Scan type      : Complete Scan
Total Scan Time : 00:13:34

Memory items scanned      : 352
Memory threats detected  : 0
Registry items scanned    : 3187
Registry threats detected : 0
File items scanned        : 13127
File threats detected    : 6

Adware.Tracking Cookie
    C:\Documents and Settings\Administrator\Cookies\administrator@atdmt[1].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@doubleclick[2].txt
    C:\Documents and Settings\Administrator\Cookies\administrator@advertising[1].txt

NotHarmful.Sysinternals Bluescreen Screen Saver
    E:\DUKUMENTER\SYSINTERNALS BLUESCREEN.SCR
    K:\$RECYCLE.BIN\S-1-5-21-430249808-3004182263-506695558-1000\$R47XDGY.SCR
    K:\STATIONæR\DUKUMENTER\SYSINTERNALS BLUESCREEN.SCR

#39
jeg ved ikke om programmet gjorde det rigtigt, da der ikke ligefrem var en vejledning i det.. det startede bare og så var der en log fil på skrivebordet

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Jeg mener simpelthen ikke din maskine er inficeret!
Hvad stod der i det CFScript du brugte til combofix?

#42
der stod
Killall::
Snapshot::

men ja.. nogle gange tror jeg også, at problemet er væk fordi, computeren kører som den plejer, men andre gange ved jeg bare at der er noget helt galt.. det er sådan at det kommer i perioder.. Ved ikke om det kan sige noget at jeg har lavet alle scans og logs i perioder, hvor computeren virkede som den plejer??

#36 Ja, det er godt med dig.

ekko...  #18 ekko...

Hvornår har du sidst defragmenteret dine harddiske?
Har du prøvet med et andet grafikkort?

#45
jeg har defragmenteret nok fra en uge siden, og med hensyn til grafikkort tror jeg ikke vil hjælpe, da det samme problem jo er sket på min bærbarer.

@ john_stigers
Ja, jeg så det godt, men jeg er ikke ret begejstret når der står "Sigcheck" i en combolog.

Hverken i går eller i dag, får jeg mail fra Eksperten i denne tråd.
Får I andre mail, eller må I som jeg selv se efter?

@off-line
Jeg fik lige mail om dit indlæg.

jep mail kører fint

Jeg synes faktisk godt at helgec, som altid er bedrevidende, kunne fortælle os sammenhængen. Jeg synes ikke du bare kan komme med de udtalelser, uden også at give os den tekniske indsigt.

Lad os starte med grub. Lad os sige vores system består af én primær partition.

1) Partitionen er lige blevet formateret af Windows, og vi har dermed en Windows-PBR.
2) Nu kører vi fixmbr, og får skrevet en standard MBR.

Hvor mener helgec så at grub har hægtet sig fast, så man er nødt til at køre killdisk for at slippe af med den?

Tak for svar. Nu fik jeg også en (gMail)  mail. Mystisk:)

Har lige talt med min hardware forhandler, som også reparerer
computere. Han mente, at de nye smarte virus gemte sig i rammene,
og at man derfor er nød til at tømme ram for at være sikker på,
at slippe af med virus.

Det tror jeg ikke på Off-line de bliver tømt hved genstart, så skulle virus blive hentet hvergang maskinerne startes.

#53 I andre computersystemer er det muligt for en virus at hægte sig på, så den kan overleve en genstart, men ikke ved x86. Slukker man for strømmen er alt håb ude.

Mon ikke din forhandler har læst om de forskere, som køler ram ned, og i et kort øjeblik efter strømmen er taget, kan aflæse nogle mønstre?

Ja jeg toede også at ram blev slettet ved, om ikke genstart, så
når computeren blev slukket. Og det gør de vel også.

Jeg ved ikke hvor han har den opfattelse fra, men han fortalte,
at han selv piller ram ud af maskinen og lader dem ligge i 10 min.

#54 Det er ikke fordi rammene bliver tømt ved genstart. Men for at en virus skal være en virus, skal dens programkode afvikles. Dvs den skal kunne hægte sig på et sted, så den bliver afviklet ved genstart.

Med hensyn til at jeg prøver at foretage et killdisk, ved jeg ikke om jeg gør noget forkert.. Der sker hvertfald ikke mere efter jeg kommer til hvor jeg skriver killdisk.exe. man kan ikke skrive noget.??
Jeg downloadede programmet og brændte det ud på cd, og bootede på det. Downloadslinket var dette http://www.helgec.dk/bootcd.html
hvor jeg trykkede under andet afsnit på her??

Det er i altfald det forkerte link du er kommet ind i.
http://helgec.dk/killdisk.html

Jeg mangler stadig en forklaring på, hvorfor det kan lade sig gøre at gendanne data efter en formatering, men ikke efter en killdisk

Har selv vænnet mig til at bruge killdisk bl.a
pga Grub-fejl

Det kan du heller ikke altid efter en formatering. Det afhænger af formateringsværktøjet og hvilken indstilling du bruger.

Om du kan eller ej, afhænger af om alle sektorer bliver overskrevet med nyt data. Det gør killdisk bl.a. Den overskriver jo alle sektorer i det valgte område.

En simpel formatering, som blot opretter et nyt index, overskriver kun meget få sektorer.

Det her har udviklet sig sig til noget i retning af:
"Hvem kan pisse længst"

@ nofear3
Hvis du gerne vil ha' tjekket dine maskiner så prøv at oprette en "tråd" her:
http://www.spywarefri.dk/forum/viewforum/10/
Følg guiden her:
http://www.spywarefri.dk/vejledning-til-analyse-logs/

f-arn:

Er der så lidt fleksibilitet i dig, at du ikke kan klare at andre spørger om noget, de syntes er spændende, interessant og derfor gerne vil lære noget om.

f-arn
Hvis du ikke kan lide lugten i bageriet så kan du jo bare hoppe af tråden.

@f-arn
Jeg vil højtsansynligt også oprette en tråd der, da jo flere til at hjælpe jo bedre.. men vil stadig forsøge her.

Nix - Du får kun hjælp et sted

Må sige jeg er enig med f-arn.

Du kan ikke få 2 hjælp i 2 forums på samme tid.

Af den simple grund at jeg ved at team spywarefri går meget op i at der gøres præcist hvad de skriver, så nytter det ikke noget at du har et spørgsmål på en anden side hvor du skal gøre en anden ting - derved har spywarefri ikke 100% kontrol over hvad der laves ved maskinen, og derved kan evt. problemer muligvis ikke løses 100% korrekt efter deres metode.

Håber du forstår det :)

Helgec du skriver:  Jeg er godt nok stoppet på eksperten

Det kan du da godt nok ikke være bekendt. Så bliver Eksperten da endnu mere kedelig og hvem skal man så slås med ?

Ja det bliver kendeligt. Hvem husker ikke dengang han prøvede at overbevise folket om, at boot sektoren ikke havde betydning for opstarten?

Den diskussion kan jeg godt huske ;)

okay.. fint nok så fortsætter jeg her.. er der forresten nogle der har  nogle forslag til problemet udover killdisk??

Ref.: #18 -> ...Lyder som en hardware fejl!...

det kan jo bare ikke passe, når det samme problem jo er på den bærabre

Ok du har XPSP3 på din stationære.
Har du både XP og Vista på din bærbare?
Spørgsmålet går på, om du har brugt en eller flere af de samme
driver på begge computere. Det kunne jo være en driverfejl eller
en inficeret driver. Bruger du den samme mus på begge computere?

Ps. Du har vel husket at installere den rigtige chipset-driver
på begge computere, og sikret dig, at du bruger den rigtige
skærmdriver?

jeg har XPSP3 på begge og jeg bruger de drivere, der medfølger til hver computer, hver for sig. jeg bruger forskellige muse. jeg bruger de rigtigt chipset-drivere og skærmdrivere, men chipsetdriverene er ikke opdateret.

Nu gider jeg ikke mere.
Hvis nofear3 vil ha' hjælp vil jeg foreslå at han henvender sig ved spywarefri

Når du har de rigtige driver så skal det selvfølgelig kunne køre.
At chipset driverne ikkke er opdateret kan ikke medføre den fejl.
Det eneste som bliver tilbage er Software, som enten konflikter,
eller som kræver en Bios opdatering.
Ellers kan jeg ikke se nogen mening eller løsning.

Vil også anbefale spywarefri.dk

Husk at lukke her først. Bed evt. folk om svar da der er nogen der har brugt en del tid med at hjælpe.

Mangler der besøgende og kunder i butikken på spywarefri.dk ?
siden I ikke lader nofear3 selv, afgøre hvad han vil.

nofear - hvis du finder ud af noget på spywarefri, så skriv det
venligst her.

Når man kigger jeres kommentarer, tager i ikke det faktum med at han har problemet på 2 pc´ere.

Derfor kan problemet stikke dybere end vi kan løse her.
Vi er jo ikke kommet et eneste skridt nærmere en evt. løsning...

Samsonjens - jeg tror nu nok team spywarefri har nok at lave ;)

Det er bare en generel regel, som du også kender, at man kører
kører sit spørgsmål færdigt i den samme tråd, og ikke lige pludselig stopper midt i det hele.

Så lidt underligt, at I pludseligt syntes den skal brydes.

Jamen så kom med guldkornene der får løst hans problem.

f-arn har givet op, og det samme har jeg.

f-arn havde dem måske, men gad ikke mere. Måske han arbejder på Spywarefri :-)

Jeg syntes, tråden er afsluttet når nofear3 selv træffer sit valg

Jo jeg tog faktisk højde for, at det drejer sig om 2 maskiner.
Derfor er jeg enig med nofear3 i, at det ikke er hardwarefejl.

nofear3 oplyser, at han har de helt rigtige driver til begge maskiner, derfor er der kun software tilbage.
Altså inficeret eller konfliktende software, eventuelt en manglende
opdatering af bios.
Men der slutter festen, da ingen af os kan have en ide om, hvad der
er galt med softwaren. Så ja vi er gået i stå, og jeg giver også op.

@ samsonjens
"Måske han arbejder på Spywarefri"
Ja

Så forstår jeg bedre reklamerne for Spywarefri i denne tråd.
Jeg syntes ellers, der er nok reklamer på E.

Nu laver jeg egentlig ikke reklame. Jeg vil bare have det ind i et bedre kontrollert forum.

f-arn har altså en pointe :)

Jeg vil bare have det ind i et bedre kontrollert forum

Jeg kan godt se, du er god til at reklamere mellem linierne.

Hvad vil du på eksperten, når du mener spywarefri er bedre, ikke gider mere midt i en tråd og du prøver at trække brugere dertil.
Og de har nok at lave på spywarefri, var der en der skrev

samsonjens, nu syntes jeg vi skal stoppe den debat.

Kom med løsningsforslag til nofear3, eller kom med alternative muligheder for hjælp.

Det er det f-arn foreslår, nu vi er løbet tør her!

Ok. Ved godt du har ret.

okay.. jeg vil forsøge mig videre på spywarefri, men tusind tak for at i prøvede at hjælpe.. det var sq dejligt, bare trist vi ikke fik løst problemet, men det kommer nok..
Med hensyn til point har alle jo bidraget, så hvis folk smider et svar ind, vil jeg fordele dem ligeligt mellem folk

Det er vel ikke sådan at du har fået ny mobiltelefon eller anden elektronik, som kan påvirke dine komputere?
jeg har hørt op en trådløs telefon der forstyrede farverne på et TV. du kan også prøve at gå i byen med den bærbare og se om problemet forsvinder.

Ingen point til mig tak.

jeg har haft min bærbare med over til en ven, så det kan udelukkes

Ikke for at smide benzin på gløderne, hvorvidt det ene forum er bedre end det andet osv., men nu har jeg siddet og nærstuderet tråden.
Der er ikke en af jer der foreslår at tjekke for støv og snavs, altså et varmeproblem.
Det kan sagtens optræde på to maskiner samtidigt.

@fromsej
Jeg hoppede af og anbefalede spywarefri

I spørgers indlæg står der>Jeg kunne løse problemet midlertidigt, ved at trykke "Ctrl+Alt+Delete", hvorefter computeren fungerede normalt igen< det hænger ikke rigtig sammen med et varmeproblem, fromsej.

Tjae, øhh, bøhh, nej det har du nok ret i, men jeg vil ikke udelukke det alligevel.

Nå... bare lige så folk ikke tænker videre, så har jeg løst problemet... Det var min trådløse mus, den var galt med.. Det havde jeg jo ikke lige tænkt på.. men tak for i prøvede at hjælpe =)

Rart at se jeg havde ret ;)

Men mon ikke du skulle bede om nogle svar, da der er lagt en del arbejde i at hjælpe her?

Personligt springer jeg over :)

stigers > nofear har faktisk bedt om svar #95 :)

Det er nok på tide at lukke. Du har bedt folk om at lægge et svar.
Åbenbart er der ingen som ønsker point, derfor kan du roligt
lægge et svar selv, og selv tage alle point:)