Hvis du kører med Windows XP skal du aller først deaktivere systemgendannelse.
Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik ok og genstart.
Så bare start op i fejlsikret tilstand. Her finder og sletter du msupdate32.exe. Så genstarter du normalt. Start HJT programmet og tryk på "Scan". Så trykker du på "Save log" - dette gemmer loggen som hikackthis.log og den kan du kopiere al teksten fra og indsætte her i tråden.
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] #1 der er bare lige det ene lille problem: der sker intet ved at højreklikke på denne computer og vælge egenskaber. den kan godt med mapper, men ikke med denn computer. prøver lige en genstarter...
--
eller...
hmm, nu har jeg genstartet, slettet winupdate32.exe (skrev forkert før..) og genstartet igen. men nu kan jeg ikke åbne hijackthis, word eller noget udover internet explorer... ikke sjovt
--
eller...
Winupdate32.exe er også malware så det er fint at den er slettet. Jeg er dog ret sikker på at der er mere malware på din maskine. Genstart i fejlsikret tilstand igen og kør HJT derfra. Så må vi se.
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] hvordan genstarter man xp i fejlsikret tilstand? det har jeg aldrig kunnet finde ud af at gøre...
den vil ingen programmer starte udover iexplorer og cd-brænder funktionen. kan jeg roligt brænde dokumenter osv. ud så de ikke går tabt??
--
Gæstebruger, opret dit eget login og få din egen signatur. Du kommer i fejlsikret tilstand ved at trykke F8 efter POST. Du kan da godt brænde dine dokumenter, men de skulle ikke gå tabt ved at rense maskinen.
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] prøver det lige... håber det virker..
--
eller...
den kan stadig ingen programmer åbne. kan ikke finde f.eks hijackthis.exe når jeg klikker på det
--
eller...
Du må hellere få taget backup af dine dokumenter. Det kan meget vel ende med at du skal formatere, såfremt vi ikke kan komme til at starte nogen programmer op.
Start op i fejlsikret tilstand igen, men sørg for at netkablet er fjernet fysisk. Så skal du prøve om du kan åbne joblisten (Ctrl+Alt+Delete) og regedit (Start-> Kør-> regedit <Enter>) og give besked om hvad du kan/ikke kan.
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] tror du har ret´. det ender nkok med en format c, men giver det et forsøg
--
eller...
prøvede det allerførst før noget andet, skal dog siges at jeg både har firewall og antivirus.... den online fandt intet ligesom min egen. derfor stod jeg lidt uforstående..
--
eller...
men brænder lige alle de vigtige ting, og så får den lige et kig i registreringsdatabasen, hvis jeg kan komme derind
--
eller...
hmm, har fået brændt det vigtigste nu.. til Armageddon: kan godt frembringe både windows jobliste og komme ind i registreringsdatabasen!!! noget jeg kan gøre videre derfra???
--
eller...
#15 Så er der måske stadig håb. Det kræver dog lidt arbejde. Åbn først joblisten og skriv ned hvilke procsesser der kører - dem vil jeg gerne vide. Vi skal helt sikkert have lukket for nogle af dem.
Så skal du gå i regedit og finde stien:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
der vil så være en masse nøgler i højre side af skærmen. Alle disse nøgler vil jeg også gerne vide.
Find også lige denne sti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
også her vil jeg gerne vide eventuelle nøgler.
Med de oplysninger kan jeg prøve at finde ud af hvad du har af malware.
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] all righty then, here we go:
kørende processer er som følger:
TASKMGR,EXE
ZCfgSvc.exe
CetMsgNT
SVCHOST.exe
RegSrvc.exe
nvsvc32.exe
SPOOLSV.EXE
SVCHOST.EXE lokal tjeneste
SVCHOST.EXE netværkstjeneste
S24EvMon.exe
SVCHOST.EXE
SVCHOST.EXE
LSASS.exe
SERVICES.EXE
WINLOGON.EXE
CSRSS.exeSMSS.EXE
explorer.exe
System
og self. Aktiv systemproces
finder det i regdatabasen nu...
--
eller...
nøgler under RUN:
Standard
Adaptecdirectcd
apoimt
bacstray
DAEMON tools - 1033
Dell quickset
DM_Server
DVDsentry
HP lamp
NvCplDaemon
NvMediaCenter
PCTVOICE
PRONoMgr.exe
VetTray
Zone Labs Client
--
eller...
og intet under RUNONCE, kun standard
--
eller...
Okay, alle processer med undtagelse af "CetMsgNT" er legitime. Jeg kender ikke "CetMsgNT" og kan ikke finde noget på den. Du bliver derfor nødt til at undersøge egenskaberne for filen og fortælle det. Hvis det er en malware fil skal du prøve at afslutte den i joblisten og slette den efterfølgende.
Af de programmer der er sat til at starte op er DM_Server malware. Du må gerne slette denne nøgle og slette dmserver.exe også (vil formentlig være i C:\Windows\System32).
--
/Armageddon - [email protected]
http://www.mdegn.dk[...] hmm.min fejl, der ksulle have stået VetmsgNT <= den burde der ikke være noget galt med.
men tak for tiden og hjælpen til at finde det problem Armageddon. bliver sikkert til en god formatering (nok i morgen tidlig.) da jeg sidder og læser til eksamen. smuter iseng nu, men post endelig his der er nogen der har løsningen til mit problem..
Martin
--
eller...