|
| Ulækker Virus kan ikke.... Fra : Brassovitski | Vist : 1710 gange 300 point Dato : 03-11-06 10:51 |
|
Hej
Jeg har en PC (bærbar) til rep. der har fået en underlig virus. Maskinen starter godt nok op. AVG Antivirus er lukket ned, og kan ikke startes. Hvis jeg går ind på et Web-site hvor der er et link der åbner en online virus scanner, lukkes browseren øjeblikkelig ned. Hvis jeg prøver at åbne en folder eller fil, hvor der står AVG, virus i folder eller filnavnet, lukkes de øjeblikkelig. Jeg omdøbte installationsfilen til AVG til txt.txt, så kan jeg godt starte den, men lige så snart installationsvinduet åbner, lukkes det igen. Der er ingen problemer med andre programmer. Jeg har scannet for mailware med Ad-Aware, den fanst 228 kritiske objekter, hvoraf 8 måtte slettes via en DOS-prompt, men der spøger stadig et eller andet i baggrunden. Jeg har prøvet at lave et simpel tekstdokument i notepad, når jeg prøver at gemme det med et navn der indeholder virus, lukkes programmet øjeblikkelig.
Hvis jeg stater i fejlsikret tilstand er der ingen værktøjslinje, så intet kan startes. Det er godt nok en grimmer en, den virus.
Er der nogen der ved en kur, mod denne meget specielle virus??
| |
| Kommentar Fra : miritdk |
Dato : 03-11-06 11:00 |
|
Hent HijackThis her http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe - Opret en selvstændig mappe til HijackThis og læg den for eks på skrivebordet - kald den f,eks HJT - Kør Hijackthis, klik på - Do a systemscan and save a logfile - og kopier loggen og sæt den ind i tråden her. Du må ikke slette noget selv med HijackThis.
hvis du har tid til lige at vente på at sikkerhedsgeniet kommer hjem
| |
| Kommentar Fra : thulin |
Dato : 03-11-06 12:49 |
| | |
| Kommentar Fra : Erik10 |
Dato : 03-11-06 19:11 |
| | |
| Kommentar Fra : miritdk |
Dato : 03-11-06 19:53 |
| | |
|
Hej
Jeg siger foreløbig tak for diverse forslag. Er først hjemme mandag. Vender tilbage.
Til alle der er kommet med forslag om spyrvarefri osv. læs lige mit første indlæg igen. Jeg kan overhovedet ikke gøre noget som helst i den retning, da browser/stifinder osv. jo lukkes ned lige så snart jeg prøver på noget der indeholder ord som virus spyware osv. Jeg har prøvet spyrwarefri.dk, lige så snart jeg klikker på linket til virusscannere lukkes browseren. Det eneste jeg har fået lov at køre er Ad-Aware, og den fjerne ikke virusset. Fejlsikret hjælper heller ikke da der overhovedet ikke kommer en værktøjslinje frem. Forslag der går ud på at formatere behøver I heller ikke komme med. Da det er absolut sidste udvej. Jeg prøver lige et par ting når jeg er hjemme igen, og vender så tilbage, måske først næste søndag, da jeg har et stramt program i den kommende uge.
Jeg har overvejet en DOS scanner som kan bootes fra CD, men kender desværre ikke til hvor jeg finde en sådan. Der er ingen diskettedrev i maskinen. Chkdsk har jeg kørt, den fandt 4 fejl, som blev rettet.
| |
| Kommentar Fra : stl_s |
Dato : 04-11-06 11:22 |
|
Prøv en gang at hente den omdøbte Hijackthis fra mit link. Hvis du ikke køre HijackThis så prøv et alternativ, nemlig denne scanner http://www.download.com/RemoveIT-Pro/3000-2239_4-10423674.html Når du har installeret og opdateret den, så klik på Full report log. Så scanner den, og til sidst får du en log i stil med Hijackthis, som du kan kopiere her ind. Bagefter kan du køre en virusscanning, og lade programmet fixe hvad det evt måtte finde. Lav gerne en ny log efter scanningen.
Prøv så bagefter dette:
Vi skal et nyt værktøj, som du kan hente til skrivebordet her http://rku.xell.ru/dl.php?fl=pwalker.zip
Udskriv gerne denne vejledning, eller skriv det ned på et stykke papir, som du nu vil.
Dette værktøj er på eksperimental stadiet, og det KAN i ganske få tilfælde "chrashe" maskinen. Hvis det skulle ske, får du en blå skærm, og computeren genstarter. Måske genstarter den normalt, og så skal du bare slette værktøjet.
Det kan også være at du får en skærm med nogle valgmuligheder, efter genstarten. Gør du det det, så vælg med piletasterne "Sidst kendte fungerende konfiguration(hvor systemet virkede) og tast på <enter> knappen. Så genstarter maskinen normalt. Igen, så slet værktøjet.
Ovenstående sker formentlig ikke, men er med for alle tilfældes skyld.
--------------------------------------------
1. Udpak pwalker.zip til sin egen mappe på skrivebordet.
2. Åbn mappen du lige udpakkede, og vent et øjeblik, til programmet er færdig med en indledende konfiguration.
3. Så dobbeltklikker du pwalker.exe (den med "sløjfen") nu åbner et vindue.
4. Højreklik på vinduet- marker alt. Højreklik en enkelt gang i vinduet, og nu er indholdet kopieret til udklipsholder.
5. Gå her ind i tråden, og højreklik, og vælg "sæt ind". Så ser jeg på loggen.
| |
| Kommentar Fra : stl_s |
Dato : 04-11-06 11:39 |
|
Når du nu ikke kan hente værktøjerne, så se om du ikke kan hente dem på en anden maskine, og så kopiere dem ind.
Prøv alternativt at kopiere Ad-Awares log her ind.
| |
|
Halløjsa
Så fik jeg endelig lavet en hiJack-logfile:
Citat Logfile of HijackThis v1.99.1
Scan saved at 07:14:50, on 13-11-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\winservnt32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programmer\Fælles filer\Aminova\WordSeeker\WordSeeker.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\bootini.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
E:\HiJackThis testprogram\hjtspecial.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,winservnt32.exe
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O2 - BHO: (no name) - {4F075B95-D78D-4514-8103-AC0318B54CA8} - C:\WINDOWS\System32\iiijg.dll
O2 - BHO: (no name) - {D6EC03D8-438B-4C5C-AC83-1B73C429041A} - C:\WINDOWS\System32\yayabxx.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\vmcwvequ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmer\Fælles filer\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmer\Fælles filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [Aminova WordSeeker] "C:\Programmer\Fælles filer\Aminova\WordSeeker\Controller.exe" SHORTCUT
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinDLL (nap32.dll)] rundll32.exe C:\WINDOWS\System32\nap32.dll,start
O4 - HKLM\..\Run: [woi6fa53] RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\System32\NvVid.exe
O4 - HKLM\..\Run: [nergg] rundll32.exe C:\WINDOWS\System32\nergg.dll,start
O4 - HKLM\..\Run: [newname] c:\\nwnmff_17.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_17.exe
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKLM\..\Run: [bsxsys] rundll32.exe C:\WINDOWS\System32\bsxsys.dll,start
O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msi32java.exe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] winsys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/ErrorSafeFreeInstall_dk.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.02r/spyspottercabinstall.cab
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l04qlah51d4.dll (file missing)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\d6j02g1mg6.dll (file missing)
O20 - Winlogon Notify: iiijg - C:\WINDOWS\System32\iiijg.dll
O20 - Winlogon Notify: yayabxx - C:\WINDOWS\SYSTEM32\yayabxx.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programmer\WZCBDL Service\WZCBDLS.exe |
Umidelbart har jeg lidt mistanke til at, C:\WINDOWS\System32\khooker.exe, måske kunne være noget snavs. Men jeg håber en af jer ekperter kan hjælpe med et tip.
| |
|
Jeg har været på et fora og har læst om khooker.exe, og der skrives at det har noget at gøre med genvejstaster til SIS-VGA-driveren, men der er også brugere der har funde virus i filen, men det er så måske tilfældigt at den er angrebet?
| |
| Kommentar Fra : stl_s |
Dato : 13-11-06 16:37 |
|
Den maskine er godt nok meget forpestet. Umiddelbart havde den bedst af at få kniven. Hvis du vil prøve at rense, så lad os prøve med flere af de store fejekoste:
Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe
Kør så combofix.exe, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt
--------------------------------------------------------
Hent denne fil, og pak den ud til en mappe på skrivebordet:
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip
Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1
Gå så ind i mappen SDFix, som du hentede tidligere. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.
Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.
Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.
---------------------------------------------------------
Hent CWShredder her http://www.trendmicro.com/cwshredder/ Start op i fejlsikret, og kør den. Klik FIX og lad den gøre sit arbejde.
Genstart til normaltilstand, og kom med en frisk HijackThis log.
| |
|
Halløjsa stl_s
Nu har jeg fulgt din vejledning, bortset fra at jeg har udført de forskellige ting i fejlsikret med commandopromt, der er ingen værktøjslinie i fejlsikret tilstand?.
I opstarten af Windows kommer der følgende 2 fejlbeskedder:
Citat Fejl under indlæsning af w269b78.dll. Det angivne modul blev ikke fundet |
Citat Fejl under indlæsning af C:\Windows\System32\nap32.dll |
Combofix-log
Citat ComboFix 06.11.9 - Running from: "C:\Documents and Settings\hugo\Skrivebord"
((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))
REGISTRY ENTRIES REMOVED:
[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}]
@=""
"IDEx"="ADDR"
[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\InprocServer32]
@="C:\\WINDOWS\\system32\\csnfmsp.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}]
@=""
"IDEx"="ADDR"
[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\InprocServer32]
@="C:\\WINDOWS\\system32\\iqs.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}]
@=""
[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\InprocServer32]
@="C:\\WINDOWS\\system32\\tvolhelp.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}]
@=""
[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\InprocServer32]
@="C:\\WINDOWS\\system32\\sgbcsp.dll"
"ThreadingModel"="Apartment"
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
FILES REMOVED:
C:\WINDOWS\system32\mv08l9du1.dll
C:\WINDOWS\system32\sgbcsp.dll
Granting sedebugprivilege to Administratorer ... successful
((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Documents and Settings\hugo\Application Data\Sskcwrd.dll
C:\Documents and Settings\hugo\Application Data\Sskknwrd.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\winservnt32.exe
C:\deskbar.exe
C:\deskbar3.exe
C:\ac3_0010.exe
C:\mte3ndi6odoxng.exe
C:\WINDOWS\system32\rpcc.exe
C:\WINDOWS\system32\tsuninst.exe
C:\Programmer\Deskbar
C:\Programmer\Inetget2
C:\Programmer\F‘lles filer\{A4D2789C-07CF-1030-0706-04121020002d}
C:\Programmer\F‘lles filer\{A4D2789C-07D0-1030-0706-04121020002d}
((((((((((((((((((((((((((((((( Files Created from 2016-10-06 to 2016-11-2006 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2016-11-2006 20:19 655 ---hs---- C:\WINDOWS\system32\gjiii.ini2
2016-11-2006 20:16 -------- d-a------ C:\Programmer\F‘lles filer
2016-11-2006 20:12 5376 --a------ C:\WINDOWS\hide_evr2.sys
2016-08-1993 16:22 21648 --a--c--- C:\WINDOWS\CTL3DV2.DLL
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programmer\\Messenger\\msmsgs.exe\" /background"
"MsnMsgr"="\"C:\\Programmer\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msijavaup32.exe"
"Windows Kernel System Service"="wkssvr.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RoxioEngineUtility"="\"C:\\Programmer\\Fælles filer\\Roxio Shared\\System\\EngUtil.exe\""
"SoundMan"="SOUNDMAN.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="C:\\Programmer\\CyberLink\\PowerDVD\\PDVDServ.exe"
"SiS Tray"="C:\\WINDOWS\\System32\\sistray.EXE"
"SiS KHooker"="C:\\WINDOWS\\System32\\khooker.exe"
"D-Link Air Utility"="C:\\Programmer\\D-Link\\Air Utility\\AirCFG.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"SSBkgdUpdate"="\"C:\\Programmer\\Fælles filer\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"WorkFlowTray"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\WorkFlowTray.exe\""
"Opware14"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\Opware14.exe\""
"OpScheduler"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\OpScheduler.exe\""
"PDF Converter Registry Controller"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\PdfCnv\\RegistryController.exe\""
"SSPrnAgent"="C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\PdfPrn\\SPrnAgent.exe"
"Aminova WordSeeker"="\"C:\\Programmer\\Fælles filer\\Aminova\\WordSeeker\\Controller.exe\" SHORTCUT"
"HP Software Update"="\"C:\\Programmer\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\""
"QuickTime Task"="\"C:\\Programmer\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programmer\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WinDLL (nap32.dll)"="rundll32.exe C:\\WINDOWS\\System32\\nap32.dll,start"
"woi6fa53"="RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"NvVideoCenter"="C:\\WINDOWS\\System32\\NvVid.exe"
"nergg"="rundll32.exe C:\\WINDOWS\\System32\\nergg.dll,start"
"Microsoft Windows"="bootini.exe"
"bsxsys"="rundll32.exe C:\\WINDOWS\\System32\\bsxsys.dll,start"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Office XP hack"="c:\\office_patch.exe hack"
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Min aktuelle startside"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{D6EC03D8-438B-4C5C-AC83-1B73C429041A}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000247"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000247"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Adobe Reader Hurtigstart.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menuen Start\\Programmer\\Start\\Adobe Reader Hurtigstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Hurtigstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Hurtigstart"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menuen Start\\Programmer\\Start\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dfndrff_13"
"hkey"="HKLM"
"command"="C:\\\\dfndrff_13.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Error Safe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ers"
"hkey"="HKCU"
"command"="\"C:\\Programmer\\Error Safe Free\\ers.exe\" /min"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\keyboard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kybrdff_13"
"hkey"="HKLM"
"command"="C:\\\\kybrdff_13.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\newname]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwnmff_13"
"hkey"="HKLM"
"command"="C:\\\\nwnmff_13.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6PK_0001_N73M1204]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinAntiVirusPro2006FreeInstall_dk"
"hkey"="HKLM"
"command"="\"C:\\Documents and Settings\\hugo\\Skrivebord\\WinAntiVirusPro2006FreeInstall_dk.exe\" -nag "
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pavsvc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pavsvc"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\pavsvc.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RxMon"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\Roxio\\Easy CD Creator 6\\AudioCentral\\RxMon.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DrgToDsc"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter System Defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Defender"
"hkey"="HKLM"
"command"="C:\\Programmer\\SpySpotter3\\Defender.exe -startup"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfSideKick 3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Ssk"
"hkey"="HKLM"
"command"="C:\\Programmer\\SurfSideKick 3\\Ssk.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDLL (enig2.dll)]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="enig2"
"hkey"="HKLM"
"command"="rundll32.exe C:\\WINDOWS\\System32\\enig2.dll,start"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFixer2006]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="uwfx6"
"hkey"="HKCU"
"command"="\"C:\\Programmer\\WinFixer_2006\\uwfx6.exe\" /min"
"inimapping"="0"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiijg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayabxx
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 16-11-2006 20:19:30,12
C:\ComboFix.txt ... 16-11-2006 20:19 |
SDFix-report
Citat SDFix: Version 1.39
-------------------
Scan run on:
16-11-2006
Time:
20:38
Microsoft Windows XP [version 5.1.2600]
Running from: C:\SDFix
Stage One...
Checking Services...
Name:
-----
hide_evr2
SVKP
Path:
----
\??\C:\WINDOWS\hide_evr2.sys
\??\C:\WINDOWS\System32\SVKP.sys
hide_evr2 Deleted...
SVKP Deleted...
Repairing Registry...
Killing PID 756 'bootini.exe'
Restoring Default Hosts File...
Stage One Complete
Rebooting...
Stage Two...
Checking For Malware:
--------------------
C:\ETDJDO.EXE
C:\QCPSOEPB.EXE
C:\WINDOWS\system32\13776_netapi.exe
C:\WINDOWS\system32\16364_netapi.exe
C:\WINDOWS\system32\18751_netapi.exe
C:\WINDOWS\system32\28206_netapi.exe
C:\WINDOWS\system32\32473_netapi.exe
C:\WINDOWS\system32\43764_netapi.exe
C:\WINDOWS\system32\44065_netapi.exe
C:\WINDOWS\system32\51713_netapi.exe
C:\WINDOWS\system32\53814_netapi.exe
C:\WINDOWS\system32\61742_netapi.exe
C:\WINDOWS\system32\67161_netapi.exe
C:\WINDOWS\system32\72700_netapi.exe
C:\WINDOWS\system32\76676_netapi.exe
C:\WINDOWS\hide_evr2.sys
C:\uniq
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\bootini.exe
C:\WINDOWS\system32\eltcelcius.exe
C:\WINDOWS\system32\msi32java.exe
C:\WINDOWS\system32\SVKP.SYS
C:\WINDOWS\system32\wkssvr.exe
Backing Up and Removing any Files Found...
Final Check:
Services:
---------
Files:
------
Any files removed are saved to the SDFix\backups Folder
FINISHED |
HijackThis-log
Citat Logfile of HijackThis v1.99.1
Scan saved at 21:04:10, on 16-11-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Fælles filer\Aminova\WordSeeker\WordSeeker.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\hugo\Skrivebord\hjtspecial.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O2 - BHO: (no name) - {D092C1BA-716F-4C00-A248-2ACD5DC133F7} - C:\WINDOWS\System32\iiijg.dll
O2 - BHO: (no name) - {D6EC03D8-438B-4C5C-AC83-1B73C429041A} - C:\WINDOWS\System32\yayabxx.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\vmcwvequ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmer\Fælles filer\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmer\Fælles filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [Aminova WordSeeker] "C:\Programmer\Fælles filer\Aminova\WordSeeker\Controller.exe" SHORTCUT
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinDLL (nap32.dll)] rundll32.exe C:\WINDOWS\System32\nap32.dll,start
O4 - HKLM\..\Run: [woi6fa53] RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\System32\NvVid.exe
O4 - HKLM\..\Run: [nergg] rundll32.exe C:\WINDOWS\System32\nergg.dll,start
O4 - HKLM\..\Run: [bsxsys] rundll32.exe C:\WINDOWS\System32\bsxsys.dll,start
O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/ErrorSafeFreeInstall_dk.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.02r/spyspottercabinstall.cab
O20 - Winlogon Notify: iiijg - C:\WINDOWS\System32\iiijg.dll
O20 - Winlogon Notify: yayabxx - C:\WINDOWS\SYSTEM32\yayabxx.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programmer\WZCBDL Service\WZCBDLS.exe |
Det er godt nok snart ved at være en lang tråd.
| |
| Kommentar Fra : stl_s |
Dato : 16-11-06 22:06 |
|
Oh my god der er stadigvæk meget. Jeg må lokke dig ud i nogle flere scanninger:
Hent og installer RemoveIT PRO her http://www.incodesolutions.com/downloads/removeit_pro.exe
Kør en scanning med den i fejlsikret tilstand, og lad programmet fixe hvad det finder. Bagefter klik på "Full report log". Vent på at loggen åbner i notesblok, og kopier den her ind i tråden.
-------------------------------------------------------------------
Kør også denne scanner http://sptlarsenserious.googlepages.com/avzantivirus Kopier venligst loggen ind bagefter.
Og denne tråd bliver MEEEEGET længere
| |
|
Halløjsa
Jeg havde ingen net på under rensningen.
Jeg har i mellemtiden kunnet køre en AVG virus scan, den fandt yderligere 71 inficerede filer.
Så alt i alt må det vel efterhånde hjælpe på det.
Nevøen (Compens ejer) står godt nok til skideballe. Han har ikke opdateret AVG, ej heller kørt Ad-Aware i over en måned. Slemme dreng. Det koster godt nok Erdinger Weissbier dunkel det her. stl_s, du har faktisk fortjent et par stykker af dem, hvis det virkelig lykkes at få maskinene op at køre 1 hundrede igen.
| |
| Kommentar Fra : stl_s |
Dato : 16-11-06 23:49 |
| | |
|
Hej
Jeg kom lige i tanker om at gendannelsessytemet jo også skal slås fra.
Jeg kørte nemlig en Ad-Aware igen, og da kom AVG med advarsler om virus hele tiden, og de lå placeret i mappen 'Restore'. Så nu har jeg slået gendannelsessystemet fra og laver nye scanninger med AVG og Ad-Aware, så må vi se videre.
| |
|
Bemærk Erdinger er alt for dyre i danmark ca. 12-18 Kr. I tyskland henter vi dem til omkring 4 Kr. når de er på tilbud.
| |
| Kommentar Fra : thulin |
Dato : 17-11-06 10:24 |
| | |
| Kommentar Fra : stl_s |
Dato : 17-11-06 17:24 |
|
Foreløbig bliver du nødt til at køre flere scanninger. De to jeg linkede til, og f,eks også med disse scannere:
AVG antispyware http://www.ewido.net/en/download/
SuperAntiSpyware free http://www.superantispyware.com/
Du får tid til adskillige Erdinger Weissbier dunkel imens .
Må være fedt bare lige at kunne køre til tyskland og hente.
| |
|
Hej "stl_s "
Nu har jeg kørt alle scannere du har linket til og de finder noget hele tiden. Det ser ud som om at hver gang maskinene genstartes (uden net på), genopstår de fleste vira/spyware igen. Efter jeg har kørt "Superantispyware", kan jeg slet ikke starte maskinen. Den viser windows logoet, cursoren, skærmen bliver blå, og umidelbart efter kommer der en fejl "Alvorlig undtagelse", systemet er stoppet. Samme fejl når jeg vælger sidst fungerende konfiguration der virkede. Såååå jeg er bange for at det nærmer sig en fuld formatering, selv om det er absolut sidste udvej.
Jeg prøver lige et par gange mere, og hvis ikke andet kører jeg en repair på windows, så må vi se.
| |
| Kommentar Fra : stl_s |
Dato : 28-11-06 16:10 |
|
Inden du kører SAS igen, så prøv at fjerne fluebenet ved "Terminate memorythreats before quarantining".
Jeg kan ikke lide at give op, men den maskine er meget forpestet, og det vil tage lang tid at få has på det hele, så jeg er tilbøjelig til at være enig med dig i den burde have skiven. Men det bestemmer du selvfølgelig selv.
Hvis du vil fortsætte, så kom lige med en frisk HijackThis log.
| |
|
Hej stl-s. Lige som dig , har jeg heller ikke lyst til at give op, så hvis jeg får liv i maskinen igen, lægger jeg en ny HijackThis log op, på tråden her. Foreløbig tak for din store hjælp.
| |
|
Grunden til at jeg ikke giver op så let er min stædighed. Jeg nægter simpelthen at tro at man ikke kan fjerne virus, uden at maskinen skal formateres. Selvfølgelig kan det blive nødvendig, men det er absolut sidste udvej, og kun fordi jeg er stædig.
| |
|
Halløjsa
Så er næste kapitel klar i denne føljeton.
Jeg kan nu starte maskinen op, men kun i fejlsikret tilstand, og som administrator. Hvis jeg forsøger at starte op i normal tilstand, kommer der følgende fejlbesked lige før brugerprofilen skal indlæses (efter angivelse af password). "STOP: C000012a {Fatal systemfejl} Systemprocessen Windows Logog Process afsluttede uventet med status 0xC0000005 (0x00000000 0x00000000). Systemet er blevet lukket. Dette tolker jeg som om at der er problemer med et eller andet i brugerprofilen. Kan jeg evt. i fejlsikret tilstand oprette en ny bruger med en kopi af den profil der er problemer med. Tanken er at en ny profil der gemmes måske retter op på de opstartsfejl der er, med den gamle? Lidt langt ude måske men hvorfor ikke prøve?
| |
| Kommentar Fra : stl_s |
Dato : 15-01-07 18:12 |
|
Jeg har ingen erfaring med det du vil forsøge, så jeg kan ikke give dig råd om det. En ting jeg kan foreslå er, at du prøver at gå i SuperAntiSpyware "Repairs", og kører den repair som hedder "Reset Winlogon shell. Jeg er ikke sikker på den findes i den gratis version. Den professionelle version af SAS kan du ikke installere i fejlsikret, så hvis den repair ikke er mulig, eller ikke har effekt, så er du nok selv på sporet med næste mulige løsning, en repair. Jeg vil dog kraftigt anbefale dig at lave backup inden repair. Når maskinen har det så skidt, er der en vis risiko for, at repairen kan "køre i ring", eller simpelthen stopper midt i det hele.
Håber det lykkes for dig .
| |
| Du har følgende muligheder | |
|
Dette spørgsmål er blevet annulleret, det er derfor ikke muligt for at tilføje flere kommentarer.
| |
|
|