Seneste forumindlæg
Login / opret bruger

En virus som ikke vil fjernes!!

Af Monsterbruger JonasPetersen | 27-10-2008 20:20 | 1140 visninger | 13 svar, hop til seneste
Godaften.
Jeg sidder her med et problem jeg aldrig har været ude for før, derfor søger jeg jeres rådgivning.
Idag formaterede jeg min harddisk efter at ha fået en virus der kalder sig "Runonce", som totalt ødelagde min harddisk med at slette filer osv. MEN, efter jeg formaterede harddisken, skulle jeg til at installere drivere, og lige da jeg åbner install-filen, kommer der en fejl. Jeg installere straks ad-aware for at se om det kan være en virus, og det var det, selveste "Runonce" er på banen igen EFTER en fuld formatering.
Min Internet-driver kan jeg ikke installere, da hver gang jeg åbner filen, kommer der en fejl op og siger; "This program is used internally by PackageFromTheWeb. It should not be executed directly". Jeg har ALDRIG oplevet denne fejl, og andre underlige fejl popper også op, når jeg åbner andre driver-filer.
Og som det ikke var nok, tager "runonce" 50% af min cpu-kraft. På hvad ved jeg ikke.

Det har lykkedes mig at fjerne filen manualt og med programmer som Ad-aware og NoAdware, men virusen kommer igen så snart jeg genstarter computeren.
NoAdwares forklaring på Runonce-filen er: "Worm known to try to spread itself using your PC."
Nogen der ved, hvordan jeg fuld ud slipper af med denne fil?

Tak på forhånd.
/Jonas
--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#1
damp barn
Guru
27-10-2008 20:29

Rapporter til Admin
prøv lige og kør denne reg fil:
http://enhanceie.com[...]
gem den på skrivebordet, kør den og sig ja til at flette ind i registreringsdatabase, derefter genstarter du..

--
E8400 ^ HD3870 512MB GDDR4 ^ P5E X38
Antec P182 ^ 4GB KHX PC6400 ^ NEC 20WGX² ^ X-Fi
Xigmatek Red Scorpion ^ Z5500 ^ Corsair HX520W
#2
JonasPetersen
Monsterbruger
27-10-2008 20:47

Rapporter til Admin
#1 Få Runonce-værdier i registreringsdatabasen blev fjernet efter genstart, men det første der sker når jeg starter op, er en runonce.exe-fejl, som siger; "Der er ingen diskette i drevet. Indsæt en diskette i drev \Device\Harddisk1\DR2"
Runonce kører stadig som en proces i baggrunden :(
--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#3
Gax
Ultrabruger
27-10-2008 20:51

Rapporter til Admin
Ved godt det ikke er meget guld værd nu... men derfor bruger vi andre returnil :)

(genstarter din harddisk til det samme punkt du vælger, hver gang du genstarter)

siden det har jeg aldrig haft problemer, og jeg er tit på besøg på meget spekulante sider
--
#4
JonasPetersen
Monsterbruger
27-10-2008 21:12

Rapporter til Admin
#3 forstod ikke rigtig dit svar :s


--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#5
damp barn
Guru
27-10-2008 22:27

Rapporter til Admin
#3 kan han vel ikke bruge til ret meget?
hvis han lige har formateret sin hdd?

#4 lavede du den hurtige ekspres formatering, eller den mere grundige og langsomme?
som sletter langt mere data end ekspres..
tænker bare på, at du ikke slap af med den, selv efter en format.c?
--
E8400 ^ HD3870 512MB GDDR4 ^ P5E X38
Antec P182 ^ 4GB KHX PC6400 ^ NEC 20WGX² ^ X-Fi
Xigmatek Red Scorpion ^ Z5500 ^ Corsair HX520W
#6
JonasPetersen
Monsterbruger
28-10-2008 11:51

Rapporter til Admin
#5 jeg lavede den grundige og langsomme formatering (fuld formatering).
Jeg kan godt forsøge at formatere harddisken igen og se om virusen bliver fjernet, men det snart 10. gang jeg formatere den - bliver harddisken ikke 'slidt ned' af at blive formateret så meget?

/Jonas
--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#7
Buller
Gæst
28-10-2008 12:13

Rapporter til Admin
Gør det her..
Højreklik på denne computer -> egenskaber -> systemgendannelse -> slå det LORT FRA

Hent -> http://download.hijackthis.eu[...]
installer det evt på en USB pind og kør på computeren og smid log filen op her. -> så kigger jeg på den

det er lige til at starte med. Så tager vi den der fra.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#8
Buller
Gæst
28-10-2008 12:15

Rapporter til Admin
Har du egenlig nogen form for servicepack / firewall / router til computeren?
--
Gæstebruger, opret dit eget login og få din egen signatur.
#9
dgs
Maxi Supporter
28-10-2008 12:15

Rapporter til Admin
#6 nej :)
en harddisk er ligeglad med om du gemmer data på den eller du formatere den, det slider ikke mere end at gemme "almindelige" data på den.

men vil godt have lidt mere info for at kunne hjælpe dig
1. er det den eneste disk der sidder i pcen ?
2. når du har formateret den, har du så netværk på pcen med det samme ?
--
dgs = Den gale struds
Just Intel Forever....
#10
Spock
Nørd Aspirant
28-10-2008 12:26

Rapporter til Admin
prøv kør dette oprydningsværktøjet til Windows Installer:
http://support.microsoft.com[...]

og som #7 siger, så slå systemgendannelsen fra, og fjern så virussen under fejlsikret tilstand
--
For dum til at vide alt, for klog til at skulle kommentere alt.
Når ingen ser dig spise det, er der så stadig kalorier i det?
#11
JonasPetersen
Monsterbruger
28-10-2008 17:47

Rapporter til Admin
#7
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:42:02, on 28-10-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\runouce.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pctools.com[...]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Runonce] C:\WINDOWS\system32\runouce.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

--
End of file - 2036 bytes


#9 Efter formateringen, er der intet netværk på computeren. Det derfor jeg forsøgte at installere netværks-driveren, hvilket ikke var muligt da en fejl poppede op.

/Jonas
--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#12
JonasPetersen
Monsterbruger
28-10-2008 18:06

Rapporter til Admin
Jeg kan se, at efter jeg selv har læst logfilen igennem, at virusen ikke hedder "runonce" men "runouce", altså uden et 'n'.
http://answers.yahoo.com[...]
Men når jeg scanner min computer, finder den "runouce"-filen i en nøgle i registreringsdatabasen som hedder "Runonce".
Ved ikke helt hvad der er af muligheder, eller om det misforstået virus-navn ændre noget på situationen?

/Jonas
--
Prøver at holde mit system så TipTop som muligt :)
3DMARK06: 4823.
#13
Buller
Gæst
28-10-2008 19:56

Rapporter til Admin
#11 helt iorden skulle bare hører :)

du skal genstarte i fejlsikret (F8 under opstart) og vælge fejlsikret tilstand. du kører Hijackthis igen og fjerner dette: (sæt flueben og FIX cheked)

C:\WINDOWS\system32\runouce.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

O4 - HKLM\..\Run: [Runonce] C:\WINDOWS\system32\runouce.exe

Genstart maskinen og så skulle lortet ikke starte igen :)

Hent derefter dette program og kør på maskinen skal installeres i "normal windows" og hent opdateringerne hvis dette er muligt. Ellers genstart i fejlsikret tilstand og kør en fuld scan.
http://downloads.superantispyware.com[...]

det var det.. Har du Messenger evt. ?
--
Gæstebruger, opret dit eget login og få din egen signatur.

Opret svar til indlægget: En virus som ikke vil fjernes!!


Dit navn:

Din e-mail adresse:



Denne tråd er over 6 måneder gammel!
Er du sikker på at du har noget relevant at tilføje?

Dit svar:


 
NYHEDSBREV
Afstemning