Gå til innhold
Trenger du hjelp med PCen? Still spørsmål her! ×

Windows Xp grensesnittet blokkeres.

TRL

Av TRL
i Maskinen fungerer ikke

Anbefalte innlegg

TRL

TRL

Skrevet
Skrevet (endret)

Heisann!

 

Skal hjelpe til med å få liv i en PC her som er kranglete. Dette er WindowsXP pro laptop.

Det som skjer er at når den laster så kommer ikke startmenyen og ikoner opp, bare bakgrunnsbildet. Kan kjøre oppgavebehandling via hurtigtaster. Har forsøkt å kjøre explorer.exe manuelt derfra, men kan såvidt skimte den før den forsvinner igjen.

Har forsøkt fra flere brukerkontoer, og i sikkerhetsmodus, det samme skjer. Når jeg kikker gjennom kjørende oppgaver kan jeg heller ikke si at jeg ser noen mistenkelige navn blandt kjørende oppgaver (selv om akkurat DET ikke er noen garanti).

 

Holder nå på med en virus sjekk, pass1 har passert med kun å rename en *\radmin\admdll.dll

 

Begynner nå å slippe opp for ideer til hva jeg kan gjøre for å løse dette. Håper noen har tips eller erfaringer.

 

Trond

Endret av TRL
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Magic

Magic

Skrevet
Skrevet (endret)
Heisann!

 

Skal hjelpe til med å få liv i en PC her som er kranglete. Dette er WindowsXP pro laptop.

Det som skjer er at når den laster så kommer ikke startmenyen og ikoner opp, bare bakgrunnsbildet. Kan kjøre oppgavebehandling via hurtigtaster. Har forsøkt å kjøre explorer.exe manuelt derfra, men kan såvidt skimte den før den forsvinner igjen.

Har forsøkt fra flere brukerkontoer, og i sikkerhetsmodus, det samme skjer. Når jeg kikker gjennom kjørende oppgaver kan jeg heller ikke si at jeg ser noen mistenkelige navn blandt kjørende oppgaver (selv om akkurat DET ikke er noen garanti).

 

Holder nå på med en virus sjekk, pass1 har passert med kun å rename en *\radmin\admdll.dll

 

Begynner nå å slippe opp for ideer til hva jeg kan gjøre for å løse dette. Håper noen har tips eller erfaringer.

 

Trond

 

admddll.dll er en "systemfil" tilhørende trojanen RAdmin. RAdmin er en trojan som gjør at crackere får tilgang til pc'en din over tcp/tp protokollen og kan fjernstyre pcen's mus, tastatur, velge hvilke programmer som skal kjøre etc. Det er flere tilhørende filer til RAdmin enn bare admdll.dll, blant annet et par-tre .exe-filer, så jeg vil nok anbefale deg å skaffe deg en skikkelig anti-virus programvare, samt å kjøre anti-spyware programvare som f.eks. ad-aware eller Spybot-Search and Destroy. Ellers får vi håpe explorer.exe kjører igjen som normalt når du har fått pc'en din virusfri.

 

Lykke til!

Endret av Magic
Lenke til kommentar
TRL

TRL

Skrevet
  • Forfatter
Skrevet
last ned http://downloads2.superantispyware.com/dow...iSpywarePro.exe

kjør full systemscan. Forhåpentligvis så finner den en fil som heter Vundo.

Vundo skaper problemer for shell, som fører til at explorer krasjer.

Kjørte inn en ny explorer.exe for å se om det hjalp. Samme feil, så ligger det i alle fall ikke inne i explorer.exe.

Kjørte inn MalwareBytes i går, den fant ikke noe. La inn SuperAntiSpyWare nå, men den har heller ikke funnet noe (annet enn 160 cookies, lot den fjerne de for å få følelsen av å ha fått til noe....).

ComboFix er også et uprøvd alternativ, men er det noen vits? ser ikke ut til å være noe virus som finnes?

 

Trond

Lenke til kommentar
TRL

TRL

Skrevet
  • Forfatter
Skrevet

Her er HijackThis loggen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:27, on 18.09.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programfiler\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Verktøy\procexp.exe
E:\Verktøy\SysinternalsSuite\Filemon.exe
C:\WINDOWS\system32\mmc.exe
C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://www.euro.dell.com/countries/no/nor/gen/default.htm"]http://www.euro.dell.com/countries/no/nor/gen/default.htm[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.startsiden.no/"]http://www.startsiden.no/[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.euro.dell.com/countries/no/nor/gen/default.htm"]http://www.euro.dell.com/countries/no/nor/gen/default.htm[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programfiler\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programfiler\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programfiler\google\googletoolbar1.dll
O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programfiler\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programfiler\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [type32] "C:\Programfiler\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [uSBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [Connect Update Agent] "C:\Programfiler\Telenor\Mobilt Kontor\AutoUpdateSrv.exe"
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programfiler\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programfiler\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Programfiler\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Programfiler\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programfiler\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programfiler\Fellesfiler\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] C:\Programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETTVERKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mamut Online Backup.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O4 - Global Startup: Pervasive.SQL Workstation Engine.lnk = C:\PVSW\Bin\W3dbsmgr.exe
O4 - Global Startup: Service Manager.lnk = C:\Programfiler\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - [url="http://a1540.g.akamai.net/7/1540/52/20041208/qtinstall.info.apple.com/pthalo/no/win/QuickTimeFullInstaller.exe"]http://a1540.g.akamai.net/7/1540/52/200412...llInstaller.exe[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198
O17 - HKLM\System\CS2\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198
O17 - HKLM\System\CS3\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198
O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Unknown owner - C:\Programfiler\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programfiler\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Programfiler\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O24 - Desktop Component 0: (no name) - [url="http://epost.telenor.no/mobileoffice/?cmd=mail&sub=attachment&folder=INBOX&msgno=327&partno=2"]http://epost.telenor.no/mobileoffice/?cmd=...27&partno=2[/url]

--
End of file - 7810 bytes

Lenke til kommentar
TRL

TRL

Skrevet
  • Forfatter
Skrevet
virka ren den.

 

Eneste 3 av disse som jeg ikke vet hva er

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{23BF4CC6-A3D4-4B53-9CF5-1B28C4F3D9FC}: NameServer = 130.67.60.68,130.67.15.198

 

kjenner du igjen IPen?

 

Vel, nei egentlig ikke, men dette er vel bare dns servere det vises til. Navnene er ns11.e.nsc.no og ns10.e.nsc.no, disse tilhører et domene som eies av Telenor. Skal ikke ha noen effekt på maskinen nå som den startes uten tilgang til nett.

 

Har forresten killa alle programmer jeg kunne med task manager for å slå av eventuell kjørende virus. Nå booter jeg opp med miniPE2-XT og sjekker disk og størrelse for backup.

Lenke til kommentar
TRL

TRL

Skrevet
  • Forfatter
Skrevet

Denne maskinen er en Dell ultra portabel. I oppstarten hadde den en meny med egne diagnose verktøy som jeg fant når jeg rota litt rundt etter kommando promptet slik at jeg kunne utføre en reperasjon av innstallasjonen. Kjørte den og inne der fant jeg en egen disk sjekker. Den rapporterte mengder av diskfeil, dvs jeg orket ikke klikke meg gjennom alle. Som diagnoseverktøy hadde denne ingen reperasjonsfunkjsoner jeg kunne se. Reagerer litt på at den fant så mange feil, for jeg hadde allerede kjørt disksjekk på den, og da reparerte den bare litt på allokert plass.

Uansett, en gjennomgang med hdd regenerator har fikset 28 blokker med feil. Håper dette gjør susten, men det tar tid..

 

Trond

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...