"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:4362eacd$0$47032$edfadb0f@dread15.news.tele.dk...
> Fik du løst problemet ? ...klip
> Kim
Hej Kim,
Ja, jeg fik løst problemet og fandt såmænd også ud af hvilken virus det
var - med hjælp fra virus.NG'en:
"Peter Kruse" <kruse@nogoodtimetodoso-kruseonline.dk> skrev i en meddelelse
news:43579414$0$142$edfadb0f@dread11.news.tele.dk...
> Hej Lars,
> ...klippet...
> Ja, der er desværre tale om skadelig kode. En "Delf" variant.
> Fil: mswinxp.exe Delf-dropper (årsagen til din kompromitterede PC)
> ...modificerer herefter registreringsdatabasen med en runas værdi, så
> koden aktiveres efter en genstart af systemet:
>
> HKLM\Software\Microsoft\Windows\CurrentVersion\Run=
> "filesys"="C:\WINDOWS\SYSTEM\mswinxp.exe
>
> Slet den runas værdi og genstart systemet! Slet derefter manuelt
> mswinxp.exe og trackmgr.exe fra systemmappen.
Efter at have slettet filerne og - via run/msconfig - fjernet fluebenet ud
for referencen i registreringsdatabasen fungere alt nu fint. Eneste ændring
i forhold til før - såvidt jeg husker - er at når jeg nu tænder for pc'en
får jeg umiddelbart (i et sekund eller to) mulighed for at vælge
operativsystem (XP Home eller XP genoprettelseskonsol'), sikkert fordi jeg
har 'rodet' i msconfig og valgt et element i start fra, så det ikke længere
er en normal-start. Den mulighed var jeg måske egentligt helst fri for - når
det nu ikke altid er mig der tænder for pc'en.
Og tilbage i registreringsdatabasen står stadig referencen/runas-værdien dog
nu uden flueben. Hvordan jeg sletter disse overflødige linier er jeg ikke
helt fortroligt med.
Jeg blev anbefalet evt. at re-installere XP 'just-in-case'. Men da AVG og en
on-line scanning (Trend) efter oprydningen ikke kunne finde noget forkert,
og da den brugerkonto, der blev benyttet, da virusen ramte, ikke havde admin
rettigheder, valgte jeg at springe reinstallation over. Udover AVG kører jeg
Ad-ware og Spybot regelmæssigt og min XP er opdateret og med Firewall'en
slået til - alt dette kombineret med back-up af data en gang i mellem. Så
forhåbentligt er jeg nogenlunde på den sikre side.
"Kim Schroeder" <nospamtome@myorange.dk> skrev i en meddelelse
news:435d4d1a$0$9123$edfadb0f@dread15.news.tele.dk...
> Prøv at se her:
>
http://www.webuser.co.uk/forums/ubbthreads.php
>
> gå til det forum som hedder HijachThis logs. - klip
Om min pc så også nu vil have godt af en omgang med HijackThis eller om det
burde være overflødigt ved jeg ikke rigtigt. På den ene side er jeg lidt
tynd i papirerne når der skal rodes med de mere grundlæggende systemer,
konfigurationer osv. og vil jo helst ikke selv lave ulykker. Og på den anden
side vil jeg gerne have at alt er i orden, så måske jeg burde prøve
programmet en af dagene. Men om det er meningen med HijackThis at det
kan/skal bruges regelmæssigt lidt ligesom f.eks. Ad-ware eller om det mere
er et egentligt genopretningsværktøj ved jeg ikke.
Mvh.
Lars
PS. Jeg har først lige opdaget dit indlæg og mail til min - ikke så ofte
benyttede - Hotmail, derfor det lidt sene svar.
PPS. Tak for hjælpen til alle!