Problem med uppstart som hänger sig

[Corinna]

Hej alla kunniga, hoppas någon har möjlighet att hjälpa en ganska så okunnig med detta krångel:

Chattade på msn igår och klickade på en fil som överfördes till mig. När jag försökte öppna den fick jag ett meddelande om att det inte gick och datorn verkade vilja starta ett IE-fönster som jag stängde ner.

 

Strax efter det började skrivbordet bete sig underligt, det "slocknade", som om datorn skulle stängas av, men kom fram igen. Jag testade att starta om datorn men problemet kvarstod. Återställde systemet men problemet är fortfarande kvar. På skrivbordsmenyn ser det ut som att allt startas om, ikonerna försvinner och kommer tillbaka. Problemet är kvar även om jag startar i felsäkert läge.

Blir lite orolig om datorn skulle vara på väg att krascha, men misstänker att det blivit något problem med IE någonstans, att den eller MSN hakat upp sig eller något.

 

Om någon har något tips på hur man kan lösa detta så vore jag otroligt tacksam!

 

[Cecilia]

Chattade på msn igår och klickade på en fil som överfördes till mig. När jag försökte öppna den fick jag ett meddelande om att det inte gick och datorn verkade vilja starta ett IE-fönster som jag stängde ner.

Har du kollat med den som skickade filen om det var med vilje eller om det var en MSN-mask?

 

Återställde systemet

På vilket sätt?

 

På skrivbordsmenyn ser det ut som att allt startas om, ikonerna försvinner och kommer tillbaka.

Verkar som att Utforskaren, som också sköter Skrivbordet, kraschar.

 

XP eller Vista?

 

[Corinna]

Tack för snabbt svar Cecilia!

 

Har du kollat med den som skickade filen om det var med vilje eller om det var en MSN-mask?

- Det var med vilje, ett foto som skulle skickas över

 

På vilket sätt?

- Återställde systemet genom att gå in på....tror det heter just "Systemåterställning", där man väljer att återställa allt som det var vid en tidigare tidpunkt.

 

XP eller Vista?

- XP

 

Det verkar onekligen som att Utforskaren hängt sig på något sätt, hoppas verkligen inte att den kraschar samt att det finns något man kan göra åt det.

 

STORT tack för hjälp!

 

[Cecilia]

XP eller Vista?

- XP

Då flyttar jag tråden till XP-forumet.

 

Se om det kommer något i Loggboken (Kontrollpanelen - Administrationsverktyg) i samma ögonblick som Utforskaren kraschar.

 

[Corinna]

Tack!

 

Problemet är att allt försvinner från skrivbordet, så jag kan inte gå in i Kontrollpanelen. Kan öppna Aktivitetshanteraren, men that's it. Det är massa processer på gång men inga program.

 

[Laso]

Du når ju kontrollpanelen också via Start och Kontrollpanelen

 

[Corinna]

Dessvärre inte, Startknappen försvinner.

 

[Laso]

Har läst igenom dina inlägg igen, och jag tror att antingen har du råkat ut för någon form av virus, eller ett kraftigt systemfel?

 

Eftersom ingen har föreslagit det, så kan vi försöka börja med att kolla om du har något konstigt i datorn?

 

Vi kan se om du kan installera HijackThis, och se om det visar något till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

 

[Corinna]

SUPERTHANKS!

Hade Hijack This installerat, så jag kör den och gör ett försök.....

 

 

 

[log]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:16:23, on 2008-12-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Intel\Wireless\Bin\EvtEng.exe

C:\Program\Intel\Wireless\Bin\S24EvMon.exe

C:\Program\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\basfipm.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Intel\Wireless\Bin\ZcfgSvc.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe

C:\WINDOWS\system32\mmc.exe

C:\WINDOWS\explorer.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\imapi.exe

 

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program\ewido anti-malware\ewidoctrl.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: NICCONFIGSVC - Unknown owner - C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exe (file missing)

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 4681 bytes

[/log]

 

[Cecilia]

Problemet är att allt försvinner från skrivbordet, så jag kan inte gå in i Kontrollpanelen. Kan öppna Aktivitetshanteraren, men that's it.

Fick intrycket av att saker och ting kom tillbaka efter en stund.

 

Aktivitetshanteraren - Arkiv - Ny aktivitet

eventvwr

borde ta fram Loggboken.

 

[Corinna]

Japp, har lyckats få upp den nu! Har kollat lite i mapparna där men är så fruktansvärt okunnig att jag inte riktigt vet vad jag ska kolla efter eller hur jag kan åtgärda det.

(Ibland vore det bra med någon form av avancerat datorkörkort för att kunna hantera burken...)

 

[inlägget ändrat 2008-12-29 13:57:28 av Roberta]

[Cecilia]

Loggboken är delad i tre delar, Program etc, och varje del är ordnad efter klockslag. Kolla om det kommer någon ny rad just för den tidpunkt när Skrivbordet försvinner. I så fall dubbelklicka på den/dem och då har du en kopieringsknapp till höger (ser ut som två pappersark) och så kan du klistra in det i ditt svar här.

 

Men jag ser i loggen att datorn verkar vara infekterad med något som kontaktar datorer ute på internet så håll internetanslutningen urdragen så mycket som möjligt. Vänta med Loggboken tills datorn är rensad.

 

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

[log]Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck OK och senare Y följt av Enter för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Om SDFix inte startar automatiskt efter omstarten av datorn så startar du Runthis.bat som förut men trycker F i stället för Y.

 

Om loggen inte kommer upp automatiskt så öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i loggen i ditt svar här.

Skapa en ny HijackThis-logg också och klistra in här.[/log]

 

[Laso]

(Ibland vore det bra med någon form av avancerat datorkörkort för att kunna hantera burken...)

Finns ju olika kurser/kvällskurser inom data, ett mål kan vara att försöka ta det s.k ECDL "European Computer Driving Licence", kallas också för Datakörkortet.

 

Edit: Är du tillräckligt intresserad, så kan det säkert vara något

[inlägget ändrat 2008-12-29 14:26:43 av //gästen]

[Corinna]

Följde instruktionerna, texten Starting Repairs och Checking Runnig Processes and Services dök upp men sedan stod det Det gick inte att läsa in VDM IPX-SPX-stöd.

?

 

[Corinna]

Det är nog läge för mig att gå en sådan skulle jag tro, och att hålla kunskapen fräsch och uppdaterad.

 

[Cecilia]

Har det skapats någon fil Report.txt i mappen C:\SDFix?

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

[log]Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar tillsammans med en ny HijackThis-logg. [/log]

 

[Corinna]

Programmet fortsatte köras trots "Det gick inte att läsa in VDM IPX-SPX-stöd"-meddelandet, nu står det:

Final Check

Running Catchme - Rootkit/Stealth Malware Detector...

Please Wait

 

Så jag väntar tills det är klart och följer sedan dina anvisningar. Återkommer.

 

Tills dess STORT TACK!!!

 

[Corinna]

Hallo igen, ska det ta rätt lång tid för programmet att köras igenom? Texten

Final Check

Running Catchme

Please Wait

 

är nämligen fortfarande uppe.

 

[Cecilia]

Det är nog inte normalt. Se om du hittar Catchme i Aktivitetshanteraren, fliken Processer, och så stäng av den därifrån.

 

[Corinna]

Nu så - "Report.txt has been copied to Clipoard and the SDFix folder"

 

 

[Cecilia]

Hmm, har det blivit någon Report.txt i SDFix-mappen? Kolla efter att datorn är omstartad i normalt läge.

 

Kör MBAM som jag skrev om 15:02

 

[Corinna]

Japp, men kunde inte kopiera loggen därifrån eftersom datorn inte kunde ansluta till bredbandet för att komma ut på webben.

 

[Laso]

Och t.ex detta datakörkort är inte så svårt som det låter, du får kunskaper i vanlig data och bl.a för office.

 

Läs mer här

 

http://www.dfs.se/datakorkortet/

 

Kolla också med t.ex ABF och liknande om kurser nu i vår.

 

[Cecilia]

Är det hela tiden så att datorn inte kommer åt internet?

Har du möjlighet att flytta över filer till datorn du sitter vid just nu, via USB-minne, CD etc?

 

[Corinna]

Nej, den började få problem att komma ut på webben efter att jag kört SDFix.

Ska testa igen, återkommer strax - men innan dess vill jag återigen tacka för att du tar dig tid att hjälpa mig!