TRL Skrevet 17. september 2008 Skrevet 17. september 2008 (endret) Heisann! Skal hjelpe til med å få liv i en PC her som er kranglete. Dette er WindowsXP pro laptop. Det som skjer er at når den laster så kommer ikke startmenyen og ikoner opp, bare bakgrunnsbildet. Kan kjøre oppgavebehandling via hurtigtaster. Har forsøkt å kjøre explorer.exe manuelt derfra, men kan såvidt skimte den før den forsvinner igjen. Har forsøkt fra flere brukerkontoer, og i sikkerhetsmodus, det samme skjer. Når jeg kikker gjennom kjørende oppgaver kan jeg heller ikke si at jeg ser noen mistenkelige navn blandt kjørende oppgaver (selv om akkurat DET ikke er noen garanti). Holder nå på med en virus sjekk, pass1 har passert med kun å rename en *\radmin\admdll.dll Begynner nå å slippe opp for ideer til hva jeg kan gjøre for å løse dette. Håper noen har tips eller erfaringer. Trond Endret 17. september 2008 av TRL
Magic Skrevet 18. september 2008 Skrevet 18. september 2008 (endret) Heisann! Skal hjelpe til med å få liv i en PC her som er kranglete. Dette er WindowsXP pro laptop. Det som skjer er at når den laster så kommer ikke startmenyen og ikoner opp, bare bakgrunnsbildet. Kan kjøre oppgavebehandling via hurtigtaster. Har forsøkt å kjøre explorer.exe manuelt derfra, men kan såvidt skimte den før den forsvinner igjen. Har forsøkt fra flere brukerkontoer, og i sikkerhetsmodus, det samme skjer. Når jeg kikker gjennom kjørende oppgaver kan jeg heller ikke si at jeg ser noen mistenkelige navn blandt kjørende oppgaver (selv om akkurat DET ikke er noen garanti). Holder nå på med en virus sjekk, pass1 har passert med kun å rename en *\radmin\admdll.dll Begynner nå å slippe opp for ideer til hva jeg kan gjøre for å løse dette. Håper noen har tips eller erfaringer. Trond admddll.dll er en "systemfil" tilhørende trojanen RAdmin. RAdmin er en trojan som gjør at crackere får tilgang til pc'en din over tcp/tp protokollen og kan fjernstyre pcen's mus, tastatur, velge hvilke programmer som skal kjøre etc. Det er flere tilhørende filer til RAdmin enn bare admdll.dll, blant annet et par-tre .exe-filer, så jeg vil nok anbefale deg å skaffe deg en skikkelig anti-virus programvare, samt å kjøre anti-spyware programvare som f.eks. ad-aware eller Spybot-Search and Destroy. Ellers får vi håpe explorer.exe kjører igjen som normalt når du har fått pc'en din virusfri. Lykke til! Endret 18. september 2008 av Magic
InsertNumLock Skrevet 18. september 2008 Skrevet 18. september 2008 last ned http://downloads2.superantispyware.com/dow...iSpywarePro.exe kjør full systemscan. Forhåpentligvis så finner den en fil som heter Vundo. Vundo skaper problemer for shell, som fører til at explorer krasjer.
TRL Skrevet 18. september 2008 Forfatter Skrevet 18. september 2008 last ned http://downloads2.superantispyware.com/dow...iSpywarePro.exekjør full systemscan. Forhåpentligvis så finner den en fil som heter Vundo. Vundo skaper problemer for shell, som fører til at explorer krasjer. Kjørte inn en ny explorer.exe for å se om det hjalp. Samme feil, så ligger det i alle fall ikke inne i explorer.exe. Kjørte inn MalwareBytes i går, den fant ikke noe. La inn SuperAntiSpyWare nå, men den har heller ikke funnet noe (annet enn 160 cookies, lot den fjerne de for å få følelsen av å ha fått til noe....). ComboFix er også et uprøvd alternativ, men er det noen vits? ser ikke ut til å være noe virus som finnes? Trond
InsertNumLock Skrevet 18. september 2008 Skrevet 18. september 2008 (endret) Kan du laste ned Hijackthis. Kjør gjennom, og legg loggen her. http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe Endret 18. september 2008 av Hille
TRL Skrevet 18. september 2008 Forfatter Skrevet 18. september 2008 Her er HijackThis loggen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:10:27, on 18.09.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programfiler\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Verktøy\procexp.exe E:\Verktøy\SysinternalsSuite\Filemon.exe C:\WINDOWS\system32\mmc.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://www.euro.dell.com/countries/no/nor/gen/default.htm"]http://www.euro.dell.com/countries/no/nor/gen/default.htm[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.startsiden.no/"]http://www.startsiden.no/[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.euro.dell.com/countries/no/nor/gen/default.htm"]http://www.euro.dell.com/countries/no/nor/gen/default.htm[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programfiler\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programfiler\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programfiler\google\googletoolbar1.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programfiler\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [bacstray] BacsTray.exe O4 - HKLM\..\Run: [bascstray] BascsTray.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe O4 - HKLM\..\Run: [type32] "C:\Programfiler\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [uSBTA] C:\WINDOWS\System32\usbtapnp.exe O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programfiler\Telenor\Mobilt Kontor\AutoUpdateSrv.exe" O4 - HKLM\..\Run: [DiTask.exe] "C:\Programfiler\Eicon\Diva\DiTask.exe" O4 - HKLM\..\Run: [Divamon.exe] "C:\Programfiler\Eicon\Diva\Divamon.exe" O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programfiler\Eicon\Diva\watch.exe" O4 - HKLM\..\Run: [CGServer] "C:\Programfiler\Eicon\Diva\cgserver.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_07\bin\jusched.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programfiler\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [swg] C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Mamut Online Backup.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: officejet 6100.lnk = ? O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ? O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ? O4 - Global Startup: Pervasive.SQL Workstation Engine.lnk = C:\PVSW\Bin\W3dbsmgr.exe O4 - Global Startup: Service Manager.lnk = C:\Programfiler\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - [url="http://a1540.g.akamai.net/7/1540/52/20041208/qtinstall.info.apple.com/pthalo/no/win/QuickTimeFullInstaller.exe"]http://a1540.g.akamai.net/7/1540/52/200412...llInstaller.exe[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198 O17 - HKLM\System\CS2\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198 O17 - HKLM\System\CS3\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198 O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Unknown owner - C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programfiler\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programfiler\Intel\NCS\Sync\NetSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe O24 - Desktop Component 0: (no name) - [url="http://epost.telenor.no/mobileoffice/?cmd=mail&sub=attachment&folder=INBOX&msgno=327&partno=2"]http://epost.telenor.no/mobileoffice/?cmd=...27&partno=2[/url] -- End of file - 7810 bytes
InsertNumLock Skrevet 18. september 2008 Skrevet 18. september 2008 virka ren den. Eneste 3 av disse som jeg ikke vet hva er O17 - HKLM\System\CCS\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198 kjenner du igjen IPen?
TRL Skrevet 18. september 2008 Forfatter Skrevet 18. september 2008 virka ren den. Eneste 3 av disse som jeg ikke vet hva er O17 - HKLM\System\CCS\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198 kjenner du igjen IPen? Vel, nei egentlig ikke, men dette er vel bare dns servere det vises til. Navnene er ns11.e.nsc.no og ns10.e.nsc.no, disse tilhører et domene som eies av Telenor. Skal ikke ha noen effekt på maskinen nå som den startes uten tilgang til nett. Har forresten killa alle programmer jeg kunne med task manager for å slå av eventuell kjørende virus. Nå booter jeg opp med miniPE2-XT og sjekker disk og størrelse for backup.
TRL Skrevet 18. september 2008 Forfatter Skrevet 18. september 2008 Hadde håpet på flere gode forslag...
TRL Skrevet 19. september 2008 Forfatter Skrevet 19. september 2008 Denne maskinen er en Dell ultra portabel. I oppstarten hadde den en meny med egne diagnose verktøy som jeg fant når jeg rota litt rundt etter kommando promptet slik at jeg kunne utføre en reperasjon av innstallasjonen. Kjørte den og inne der fant jeg en egen disk sjekker. Den rapporterte mengder av diskfeil, dvs jeg orket ikke klikke meg gjennom alle. Som diagnoseverktøy hadde denne ingen reperasjonsfunkjsoner jeg kunne se. Reagerer litt på at den fant så mange feil, for jeg hadde allerede kjørt disksjekk på den, og da reparerte den bare litt på allokert plass. Uansett, en gjennomgang med hdd regenerator har fikset 28 blokker med feil. Håper dette gjør susten, men det tar tid.. Trond
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå