/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Ulækker Virus kan ikke....
Fra : Brassovitski
Vist : 1710 gange
300 point
Dato : 03-11-06 10:51

Hej
Jeg har en PC (bærbar) til rep. der har fået en underlig virus. Maskinen starter godt nok op. AVG Antivirus er lukket ned, og kan ikke startes. Hvis jeg går ind på et Web-site hvor der er et link der åbner en online virus scanner, lukkes browseren øjeblikkelig ned. Hvis jeg prøver at åbne en folder eller fil, hvor der står AVG, virus i folder eller filnavnet, lukkes de øjeblikkelig. Jeg omdøbte installationsfilen til AVG til txt.txt, så kan jeg godt starte den, men lige så snart installationsvinduet åbner, lukkes det igen. Der er ingen problemer med andre programmer. Jeg har scannet for mailware med Ad-Aware, den fanst 228 kritiske objekter, hvoraf 8 måtte slettes via en DOS-prompt, men der spøger stadig et eller andet i baggrunden. Jeg har prøvet at lave et simpel tekstdokument i notepad, når jeg prøver at gemme det med et navn der indeholder virus, lukkes programmet øjeblikkelig.
Hvis jeg stater i fejlsikret tilstand er der ingen værktøjslinje, så intet kan startes. Det er godt nok en grimmer en, den virus.
Er der nogen der ved en kur, mod denne meget specielle virus??

 
 
Kommentar
Fra : peet49


Dato : 03-11-06 10:56

Kør en chkdsk /r i konsollen, og rens derefter maskinen i fejlsikret.

Kommentar
Fra : miritdk


Dato : 03-11-06 11:00

Hent HijackThis her http://www.sitecenter.dk/secure/nss-folder/mappe/hjtspecial.exe - Opret en selvstændig mappe til HijackThis og læg den for eks på skrivebordet - kald den f,eks HJT - Kør Hijackthis, klik på - Do a systemscan and save a logfile - og kopier loggen og sæt den ind i tråden her. Du må ikke slette noget selv med HijackThis.

hvis du har tid til lige at vente på at sikkerhedsgeniet kommer hjem



Kommentar
Fra : miritdk


Dato : 03-11-06 11:05

kan du komme til det så hent superantispyware og scan med den i mellemtiden

www.superantispyware.com

æuw - nettet er godt nok en farlig motorvej efterhånden

Kommentar
Fra : thulin


Dato : 03-11-06 12:49

Format C: /q/u



Kommentar
Fra : e.c


Dato : 03-11-06 13:15

Har du prøvet via eks. firefox tll en online scanner

Kommentar
Fra : stl_s


Dato : 03-11-06 18:33

Kom bare HijackThis og SuperAntiSpyware logsene, så kigger jeg på det.

Kommentar
Fra : Erik10


Dato : 03-11-06 19:11

Hej
Prøv at gå ind på dette link, de kan og vil hjælpe dig.
MVH
Erik


http://www.spywarefri.dk/forum/

Kommentar
Fra : miritdk


Dato : 03-11-06 19:13

ingen bedre hjælp end kandu´s sikkerhedsgeni stl_s

Kommentar
Fra : stl_s


Dato : 03-11-06 19:52

Miritdk -> Tak for "udnævnelsen" til "Kandus sikkerhedsgeni"

Kommentar
Fra : miritdk


Dato : 03-11-06 19:53



Kommentar
Fra : Brassovitski


Dato : 04-11-06 11:00

Hej
Jeg siger foreløbig tak for diverse forslag. Er først hjemme mandag. Vender tilbage.
Til alle der er kommet med forslag om spyrvarefri osv. læs lige mit første indlæg igen. Jeg kan overhovedet ikke gøre noget som helst i den retning, da browser/stifinder osv. jo lukkes ned lige så snart jeg prøver på noget der indeholder ord som virus spyware osv. Jeg har prøvet spyrwarefri.dk, lige så snart jeg klikker på linket til virusscannere lukkes browseren. Det eneste jeg har fået lov at køre er Ad-Aware, og den fjerne ikke virusset. Fejlsikret hjælper heller ikke da der overhovedet ikke kommer en værktøjslinje frem. Forslag der går ud på at formatere behøver I heller ikke komme med. Da det er absolut sidste udvej. Jeg prøver lige et par ting når jeg er hjemme igen, og vender så tilbage, måske først næste søndag, da jeg har et stramt program i den kommende uge.
Jeg har overvejet en DOS scanner som kan bootes fra CD, men kender desværre ikke til hvor jeg finde en sådan. Der er ingen diskettedrev i maskinen. Chkdsk har jeg kørt, den fandt 4 fejl, som blev rettet.


Kommentar
Fra : stl_s


Dato : 04-11-06 11:22

Prøv en gang at hente den omdøbte Hijackthis fra mit link. Hvis du ikke køre HijackThis så prøv et alternativ, nemlig denne scanner http://www.download.com/RemoveIT-Pro/3000-2239_4-10423674.html Når du har installeret og opdateret den, så klik på Full report log. Så scanner den, og til sidst får du en log i stil med Hijackthis, som du kan kopiere her ind. Bagefter kan du køre en virusscanning, og lade programmet fixe hvad det evt måtte finde. Lav gerne en ny log efter scanningen.

Prøv så bagefter dette:

Vi skal et nyt værktøj, som du kan hente til skrivebordet her http://rku.xell.ru/dl.php?fl=pwalker.zip

Udskriv gerne denne vejledning, eller skriv det ned på et stykke papir, som du nu vil.

Dette værktøj er på eksperimental stadiet, og det KAN i ganske få tilfælde "chrashe" maskinen. Hvis det skulle ske, får du en blå skærm, og computeren genstarter. Måske genstarter den normalt, og så skal du bare slette værktøjet.

Det kan også være at du får en skærm med nogle valgmuligheder, efter genstarten. Gør du det det, så vælg med piletasterne "Sidst kendte fungerende konfiguration(hvor systemet virkede) og tast på <enter> knappen. Så genstarter maskinen normalt. Igen, så slet værktøjet.

Ovenstående sker formentlig ikke, men er med for alle tilfældes skyld.

--------------------------------------------

1. Udpak pwalker.zip til sin egen mappe på skrivebordet.

2. Åbn mappen du lige udpakkede, og vent et øjeblik, til programmet er færdig med en indledende konfiguration.

3. Så dobbeltklikker du pwalker.exe (den med "sløjfen") nu åbner et vindue.

4. Højreklik på vinduet- marker alt. Højreklik en enkelt gang i vinduet, og nu er indholdet kopieret til udklipsholder.

5. Gå her ind i tråden, og højreklik, og vælg "sæt ind". Så ser jeg på loggen.




Kommentar
Fra : e.c


Dato : 04-11-06 11:27

Hvis du ved hvad den hedder og hvor den ligger - så er der muliheden at kigge på den HD via en ande comp. så den defekte HD slet ikke er startet op men bare er slave.

Kommentar
Fra : stl_s


Dato : 04-11-06 11:39

Når du nu ikke kan hente værktøjerne, så se om du ikke kan hente dem på en anden maskine, og så kopiere dem ind.

Prøv alternativt at kopiere Ad-Awares log her ind.

Kommentar
Fra : hryttel


Dato : 12-11-06 09:35

Hej, det bedste du kan gøre er at starte din pc via en speciale boot cd med egen windows, antivirus scanner og net understøttelse.
Har du mulighed, via en anden pc, til at komme på nettet? Så kan jeg poste en ISO file som du kan hente og selv brænde en cd. Du kan hente ISOen via LimeWire. Jeg starter min pc med LimeWire. Filen hedder UltimateBoot_cd.ISO eller UltimateBoot_cd.nrg




Kommentar
Fra : Brassovitski


Dato : 13-11-06 07:40

Halløjsa
Så fik jeg endelig lavet en hiJack-logfile:

Citat
Logfile of HijackThis v1.99.1
Scan saved at 07:14:50, on 13-11-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\winservnt32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programmer\Fælles filer\Aminova\WordSeeker\WordSeeker.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\bootini.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
E:\HiJackThis testprogram\hjtspecial.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe winservnt32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,winservnt32.exe
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O2 - BHO: (no name) - {4F075B95-D78D-4514-8103-AC0318B54CA8} - C:\WINDOWS\System32\iiijg.dll
O2 - BHO: (no name) - {D6EC03D8-438B-4C5C-AC83-1B73C429041A} - C:\WINDOWS\System32\yayabxx.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\vmcwvequ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmer\Fælles filer\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmer\Fælles filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [Aminova WordSeeker] "C:\Programmer\Fælles filer\Aminova\WordSeeker\Controller.exe" SHORTCUT
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinDLL (nap32.dll)] rundll32.exe C:\WINDOWS\System32\nap32.dll,start
O4 - HKLM\..\Run: [woi6fa53] RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78
O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKLM\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\System32\NvVid.exe
O4 - HKLM\..\Run: [nergg] rundll32.exe C:\WINDOWS\System32\nergg.dll,start
O4 - HKLM\..\Run: [newname] c:\\nwnmff_17.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_17.exe
O4 - HKLM\..\Run: [Microsoft Windows] bootini.exe
O4 - HKLM\..\Run: [bsxsys] rundll32.exe C:\WINDOWS\System32\bsxsys.dll,start
O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack
O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msi32java.exe
O4 - HKLM\..\RunServices: [Windows Kernel System Service] winsys.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/ErrorSafeFreeInstall_dk.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.02r/spyspottercabinstall.cab
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\l04qlah51d4.dll (file missing)
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\d6j02g1mg6.dll (file missing)
O20 - Winlogon Notify: iiijg - C:\WINDOWS\System32\iiijg.dll
O20 - Winlogon Notify: yayabxx - C:\WINDOWS\SYSTEM32\yayabxx.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programmer\WZCBDL Service\WZCBDLS.exe


Umidelbart har jeg lidt mistanke til at, C:\WINDOWS\System32\khooker.exe, måske kunne være noget snavs. Men jeg håber en af jer ekperter kan hjælpe med et tip.



Kommentar
Fra : miritdk


Dato : 13-11-06 09:44

velkommen tilbage - så er det bare at have lidt tålmodighed - jeg følger med på sidelinjen - btw så er khooker.exe ikke snavs


Kommentar
Fra : Brassovitski


Dato : 13-11-06 16:10

Jeg har været på et fora og har læst om khooker.exe, og der skrives at det har noget at gøre med genvejstaster til SIS-VGA-driveren, men der er også brugere der har funde virus i filen, men det er så måske tilfældigt at den er angrebet?

Kommentar
Fra : stl_s


Dato : 13-11-06 16:37

Den maskine er godt nok meget forpestet. Umiddelbart havde den bedst af at få kniven. Hvis du vil prøve at rense, så lad os prøve med flere af de store fejekoste:

Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

Kør så combofix.exe, og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt

--------------------------------------------------------

Hent denne fil, og pak den ud til en mappe på skrivebordet:
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

Gå så ind i mappen SDFix, som du hentede tidligere. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

---------------------------------------------------------

Hent CWShredder her http://www.trendmicro.com/cwshredder/ Start op i fejlsikret, og kør den. Klik FIX og lad den gøre sit arbejde.

Genstart til normaltilstand, og kom med en frisk HijackThis log.

Kommentar
Fra : Brassovitski


Dato : 16-11-06 21:33

Halløjsa stl_s
Nu har jeg fulgt din vejledning, bortset fra at jeg har udført de forskellige ting i fejlsikret med commandopromt, der er ingen værktøjslinie i fejlsikret tilstand?.
I opstarten af Windows kommer der følgende 2 fejlbeskedder:
Citat
Fejl under indlæsning af w269b78.dll. Det angivne modul blev ikke fundet

Citat
Fejl under indlæsning af C:\Windows\System32\nap32.dll

Combofix-log
Citat
ComboFix 06.11.9 - Running from: "C:\Documents and Settings\hugo\Skrivebord"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{42194E21-1989-453C-8DA6-82B8D8ABD6D1}\InprocServer32]
@="C:\\WINDOWS\\system32\\csnfmsp.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{3B59C69B-0A5B-49C8-91E1-5F862EA1BF5D}\InprocServer32]
@="C:\\WINDOWS\\system32\\iqs.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}]
@=""

[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{FD3E6D3D-4C55-410F-8095-B88A7D0449E3}\InprocServer32]
@="C:\\WINDOWS\\system32\\tvolhelp.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}]
@=""

[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{9F09B164-FD05-4D07-BC5E-882B4C27F96B}\InprocServer32]
@="C:\\WINDOWS\\system32\\sgbcsp.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\mv08l9du1.dll
C:\WINDOWS\system32\sgbcsp.dll


Granting sedebugprivilege to Administratorer ... successful


((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Documents and Settings\hugo\Application Data\Sskcwrd.dll
C:\Documents and Settings\hugo\Application Data\Sskknwrd.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\winservnt32.exe
C:\deskbar.exe
C:\deskbar3.exe
C:\ac3_0010.exe
C:\mte3ndi6odoxng.exe
C:\WINDOWS\system32\rpcc.exe
C:\WINDOWS\system32\tsuninst.exe
C:\Programmer\Deskbar
C:\Programmer\Inetget2
C:\Programmer\F‘lles filer\{A4D2789C-07CF-1030-0706-04121020002d}
C:\Programmer\F‘lles filer\{A4D2789C-07D0-1030-0706-04121020002d}


((((((((((((((((((((((((((((((( Files Created from 2016-10-06 to 2016-11-2006 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))   


2016-11-2006 20:19   655   ---hs----   C:\WINDOWS\system32\gjiii.ini2
2016-11-2006 20:16   --------   d-a------   C:\Programmer\F‘lles filer
2016-11-2006 20:12   5376   --a------   C:\WINDOWS\hide_evr2.sys
2016-08-1993 16:22   21648   --a--c---   C:\WINDOWS\CTL3DV2.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programmer\\Messenger\\msmsgs.exe\" /background"
"MsnMsgr"="\"C:\\Programmer\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msijavaup32.exe"
"Windows Kernel System Service"="wkssvr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RoxioEngineUtility"="\"C:\\Programmer\\Fælles filer\\Roxio Shared\\System\\EngUtil.exe\""
"SoundMan"="SOUNDMAN.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="C:\\Programmer\\CyberLink\\PowerDVD\\PDVDServ.exe"
"SiS Tray"="C:\\WINDOWS\\System32\\sistray.EXE"
"SiS KHooker"="C:\\WINDOWS\\System32\\khooker.exe"
"D-Link Air Utility"="C:\\Programmer\\D-Link\\Air Utility\\AirCFG.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"SSBkgdUpdate"="\"C:\\Programmer\\Fælles filer\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"WorkFlowTray"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\WorkFlowTray.exe\""
"Opware14"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\Opware14.exe\""
"OpScheduler"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\OpScheduler.exe\""
"PDF Converter Registry Controller"="\"C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\PdfCnv\\RegistryController.exe\""
"SSPrnAgent"="C:\\Programmer\\ScanSoft\\OmniPagePro14.0\\PdfPrn\\SPrnAgent.exe"
"Aminova WordSeeker"="\"C:\\Programmer\\Fælles filer\\Aminova\\WordSeeker\\Controller.exe\" SHORTCUT"
"HP Software Update"="\"C:\\Programmer\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\""
"QuickTime Task"="\"C:\\Programmer\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programmer\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WinDLL (nap32.dll)"="rundll32.exe C:\\WINDOWS\\System32\\nap32.dll,start"
"woi6fa53"="RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"NvVideoCenter"="C:\\WINDOWS\\System32\\NvVid.exe"
"nergg"="rundll32.exe C:\\WINDOWS\\System32\\nergg.dll,start"
"Microsoft Windows"="bootini.exe"
"bsxsys"="rundll32.exe C:\\WINDOWS\\System32\\bsxsys.dll,start"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Office XP hack"="c:\\office_patch.exe hack"
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Min aktuelle startside"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,12,03,00,00,23,00,00,00,dc,00,00,00,d2,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec NetDriver Warning"="C:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"
"Ms Update WinServices NT/XP"="winservnt32.exe"
"Ms Java for Windows NT"="MS32.exe"
"Microsoft Windows"="bootini.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Ms Java for Windows NT"="msi32java.exe"
"Windows Kernel System Service"="winsys.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{D6EC03D8-438B-4C5C-AC83-1B73C429041A}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000247"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]
"{A4D2789C-07CF-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07CF-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000229"
"{A4D2789C-07D0-1030-0706-04121020002d}"="\"C:\\Programmer\\Fælles filer\\{A4D2789C-07D0-1030-0706-04121020002d}\\Update.exe\" mc-110-12-0000247"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Adobe Reader Hurtigstart.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menuen Start\\Programmer\\Start\\Adobe Reader Hurtigstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Hurtigstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Hurtigstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menuen Start\\Programmer\\Start\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dfndrff_13"
"hkey"="HKLM"
"command"="C:\\\\dfndrff_13.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Error Safe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ers"
"hkey"="HKCU"
"command"="\"C:\\Programmer\\Error Safe Free\\ers.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\keyboard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kybrdff_13"
"hkey"="HKLM"
"command"="C:\\\\kybrdff_13.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\newname]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwnmff_13"
"hkey"="HKLM"
"command"="C:\\\\nwnmff_13.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6PK_0001_N73M1204]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinAntiVirusPro2006FreeInstall_dk"
"hkey"="HKLM"
"command"="\"C:\\Documents and Settings\\hugo\\Skrivebord\\WinAntiVirusPro2006FreeInstall_dk.exe\" -nag "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pavsvc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pavsvc"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\pavsvc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RxMon"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\Roxio\\Easy CD Creator 6\\AudioCentral\\RxMon.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DrgToDsc"
"hkey"="HKLM"
"command"="\"C:\\Programmer\\Roxio\\Easy CD Creator 6\\DragToDisc\\DrgToDsc.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter System Defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Defender"
"hkey"="HKLM"
"command"="C:\\Programmer\\SpySpotter3\\Defender.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SurfSideKick 3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Ssk"
"hkey"="HKLM"
"command"="C:\\Programmer\\SurfSideKick 3\\Ssk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinDLL (enig2.dll)]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="enig2"
"hkey"="HKLM"
"command"="rundll32.exe C:\\WINDOWS\\System32\\enig2.dll,start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFixer2006]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="uwfx6"
"hkey"="HKCU"
"command"="\"C:\\Programmer\\WinFixer_2006\\uwfx6.exe\" /min"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iiijg
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayabxx

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]   
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 16-11-2006 20:19:30,12
C:\ComboFix.txt ... 16-11-2006 20:19


SDFix-report
Citat
SDFix: Version 1.39
-------------------

Scan run on:
16-11-2006

Time:
20:38

Microsoft Windows XP [version 5.1.2600]

Running from: C:\SDFix

Stage One...

Checking Services...

Name:
-----
hide_evr2
SVKP

Path:
----
\??\C:\WINDOWS\hide_evr2.sys
\??\C:\WINDOWS\System32\SVKP.sys

hide_evr2 Deleted...
SVKP Deleted...

Repairing Registry...

Killing PID 756 'bootini.exe'

Restoring Default Hosts File...

Stage One Complete

Rebooting...

Stage Two...

Checking For Malware:
--------------------

C:\ETDJDO.EXE
C:\QCPSOEPB.EXE
C:\WINDOWS\system32\13776_netapi.exe
C:\WINDOWS\system32\16364_netapi.exe
C:\WINDOWS\system32\18751_netapi.exe
C:\WINDOWS\system32\28206_netapi.exe
C:\WINDOWS\system32\32473_netapi.exe
C:\WINDOWS\system32\43764_netapi.exe
C:\WINDOWS\system32\44065_netapi.exe
C:\WINDOWS\system32\51713_netapi.exe
C:\WINDOWS\system32\53814_netapi.exe
C:\WINDOWS\system32\61742_netapi.exe
C:\WINDOWS\system32\67161_netapi.exe
C:\WINDOWS\system32\72700_netapi.exe
C:\WINDOWS\system32\76676_netapi.exe
C:\WINDOWS\hide_evr2.sys
C:\uniq
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\bootini.exe
C:\WINDOWS\system32\eltcelcius.exe
C:\WINDOWS\system32\msi32java.exe
C:\WINDOWS\system32\SVKP.SYS
C:\WINDOWS\system32\wkssvr.exe

Backing Up and Removing any Files Found...

Final Check:
Services:
---------

Files:
------

Any files removed are saved to the SDFix\backups Folder

FINISHED


HijackThis-log

Citat
Logfile of HijackThis v1.99.1
Scan saved at 21:04:10, on 16-11-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmer\D-Link\Air Utility\AirCFG.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Programmer\WZCBDL Service\WZCBDLS.exe
C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Fælles filer\Aminova\WordSeeker\WordSeeker.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\hugo\Skrivebord\hjtspecial.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.dk/0SEDADK/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O2 - BHO: (no name) - {D092C1BA-716F-4C00-A248-2ACD5DC133F7} - C:\WINDOWS\System32\iiijg.dll
O2 - BHO: (no name) - {D6EC03D8-438B-4C5C-AC83-1B73C429041A} - C:\WINDOWS\System32\yayabxx.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\vmcwvequ.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programmer\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmer\Fælles filer\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programmer\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmer\Fælles filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray] "C:\Programmer\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "C:\Programmer\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "C:\Programmer\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] C:\Programmer\ScanSoft\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [Aminova WordSeeker] "C:\Programmer\Fælles filer\Aminova\WordSeeker\Controller.exe" SHORTCUT
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinDLL (nap32.dll)] rundll32.exe C:\WINDOWS\System32\nap32.dll,start
O4 - HKLM\..\Run: [woi6fa53] RUNDLL32.EXE w0269b78.dll,n 0036fa500000000a0269b78
O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\System32\NvVid.exe
O4 - HKLM\..\Run: [nergg] rundll32.exe C:\WINDOWS\System32\nergg.dll,start
O4 - HKLM\..\Run: [bsxsys] rundll32.exe C:\WINDOWS\System32\bsxsys.dll,start
O4 - HKLM\..\RunServices: [Office XP hack] c:\office_patch.exe hack
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe
O4 - HKCU\..\Run: [Ms Java for Windows NT] MS32.exe
O4 - HKCU\..\Run: [Microsoft Windows] bootini.exe
O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe
O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Programmer\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://locator1.cdn.imagesrvr.com/sites/errorsafe.com/www/download/2006/cabs/ErrorSafeFreeInstall_dk.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.02r/spyspottercabinstall.cab
O20 - Winlogon Notify: iiijg - C:\WINDOWS\System32\iiijg.dll
O20 - Winlogon Notify: yayabxx - C:\WINDOWS\SYSTEM32\yayabxx.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programmer\WZCBDL Service\WZCBDLS.exe


Det er godt nok snart ved at være en lang tråd.



Kommentar
Fra : stl_s


Dato : 16-11-06 22:06

Oh my god der er stadigvæk meget. Jeg må lokke dig ud i nogle flere scanninger:

Hent og installer RemoveIT PRO her http://www.incodesolutions.com/downloads/removeit_pro.exe

Kør en scanning med den i fejlsikret tilstand, og lad programmet fixe hvad det finder. Bagefter klik på "Full report log". Vent på at loggen åbner i notesblok, og kopier den her ind i tråden.

-------------------------------------------------------------------

Kør også denne scanner http://sptlarsenserious.googlepages.com/avzantivirus Kopier venligst loggen ind bagefter.

Og denne tråd bliver MEEEEGET længere

Kommentar
Fra : stl_s


Dato : 16-11-06 22:13

Iøvrigt, undgå helst at sætte net på maskinen indtil vi er færdige. Noget af det geninstallerer sig selv lige så hurtigt det bliver fjernet.

Kommentar
Fra : Brassovitski


Dato : 16-11-06 23:26

Halløjsa
Jeg havde ingen net på under rensningen.
Jeg har i mellemtiden kunnet køre en AVG virus scan, den fandt yderligere 71 inficerede filer.
Så alt i alt må det vel efterhånde hjælpe på det.
Nevøen (Compens ejer) står godt nok til skideballe. Han har ikke opdateret AVG, ej heller kørt Ad-Aware i over en måned. Slemme dreng. Det koster godt nok Erdinger Weissbier dunkel det her. stl_s, du har faktisk fortjent et par stykker af dem, hvis det virkelig lykkes at få maskinene op at køre 1 hundrede igen.


Kommentar
Fra : stl_s


Dato : 16-11-06 23:43

Erdinger Weissbier dunkel lyder som noget der er godt

Der er flere scanninger og manuel fjernelse forude,men mon ikke vi nok skal få den ren. Det kommer bare til at tage noget tid.

Kommentar
Fra : stl_s


Dato : 16-11-06 23:49
Kommentar
Fra : Brassovitski


Dato : 17-11-06 08:13

Hej
Jeg kom lige i tanker om at gendannelsessytemet jo også skal slås fra.
Jeg kørte nemlig en Ad-Aware igen, og da kom AVG med advarsler om virus hele tiden, og de lå placeret i mappen 'Restore'. Så nu har jeg slået gendannelsessystemet fra og laver nye scanninger med AVG og Ad-Aware, så må vi se videre.

Kommentar
Fra : Brassovitski


Dato : 17-11-06 08:15

Bemærk Erdinger er alt for dyre i danmark ca. 12-18 Kr. I tyskland henter vi dem til omkring 4 Kr. når de er på tilbud.


Kommentar
Fra : miritdk


Dato : 17-11-06 08:35

godt at komme i tanke om kl shit om morgenen

Kommentar
Fra : thulin


Dato : 17-11-06 10:24

Format c: /Q/U



Kommentar
Fra : stl_s


Dato : 17-11-06 17:24

Foreløbig bliver du nødt til at køre flere scanninger. De to jeg linkede til, og f,eks også med disse scannere:

AVG antispyware http://www.ewido.net/en/download/

SuperAntiSpyware free http://www.superantispyware.com/

Du får tid til adskillige Erdinger Weissbier dunkel imens .

Må være fedt bare lige at kunne køre til tyskland og hente.



Kommentar
Fra : Brassovitski


Dato : 28-11-06 13:13

Hej "stl_s "
Nu har jeg kørt alle scannere du har linket til og de finder noget hele tiden. Det ser ud som om at hver gang maskinene genstartes (uden net på), genopstår de fleste vira/spyware igen. Efter jeg har kørt "Superantispyware", kan jeg slet ikke starte maskinen. Den viser windows logoet, cursoren, skærmen bliver blå, og umidelbart efter kommer der en fejl "Alvorlig undtagelse", systemet er stoppet. Samme fejl når jeg vælger sidst fungerende konfiguration der virkede. Såååå jeg er bange for at det nærmer sig en fuld formatering, selv om det er absolut sidste udvej.
Jeg prøver lige et par gange mere, og hvis ikke andet kører jeg en repair på windows, så må vi se.

Kommentar
Fra : stl_s


Dato : 28-11-06 16:10

Inden du kører SAS igen, så prøv at fjerne fluebenet ved "Terminate memorythreats before quarantining".

Jeg kan ikke lide at give op, men den maskine er meget forpestet, og det vil tage lang tid at få has på det hele, så jeg er tilbøjelig til at være enig med dig i den burde have skiven. Men det bestemmer du selvfølgelig selv.

Hvis du vil fortsætte, så kom lige med en frisk HijackThis log.

Kommentar
Fra : Brassovitski


Dato : 02-12-06 12:39

Hej stl-s. Lige som dig , har jeg heller ikke lyst til at give op, så hvis jeg får liv i maskinen igen, lægger jeg en ny HijackThis log op, på tråden her. Foreløbig tak for din store hjælp.


Kommentar
Fra : miritdk


Dato : 02-12-06 12:42

brassovitski - er der en grundt til at du ikke giver op ???? For en restore/recovery/formattering ville da have været betydeligt hurtigere og måske også bedre i og med maskinen så bliver "næsten ny" igen ???



Kommentar
Fra : Brassovitski


Dato : 04-12-06 14:56

Grunden til at jeg ikke giver op så let er min stædighed. Jeg nægter simpelthen at tro at man ikke kan fjerne virus, uden at maskinen skal formateres. Selvfølgelig kan det blive nødvendig, men det er absolut sidste udvej, og kun fordi jeg er stædig.

Kommentar
Fra : miritdk


Dato : 04-12-06 15:06

tænkte det ski nok

jeg kan love dig at jeg ikke - i hvertfald hvad lige det angår - er stædig nok - for mange problemer - så får den skiven

held og lykke - jeg følger med på sidelinjen

Kommentar
Fra : Brassovitski


Dato : 15-01-07 08:50

Halløjsa
Så er næste kapitel klar i denne føljeton.
Jeg kan nu starte maskinen op, men kun i fejlsikret tilstand, og som administrator. Hvis jeg forsøger at starte op i normal tilstand, kommer der følgende fejlbesked lige før brugerprofilen skal indlæses (efter angivelse af password). "STOP: C000012a {Fatal systemfejl} Systemprocessen Windows Logog Process afsluttede uventet med status 0xC0000005 (0x00000000 0x00000000). Systemet er blevet lukket. Dette tolker jeg som om at der er problemer med et eller andet i brugerprofilen. Kan jeg evt. i fejlsikret tilstand oprette en ny bruger med en kopi af den profil der er problemer med. Tanken er at en ny profil der gemmes måske retter op på de opstartsfejl der er, med den gamle? Lidt langt ude måske men hvorfor ikke prøve?

Kommentar
Fra : stl_s


Dato : 15-01-07 18:12

Jeg har ingen erfaring med det du vil forsøge, så jeg kan ikke give dig råd om det. En ting jeg kan foreslå er, at du prøver at gå i SuperAntiSpyware "Repairs", og kører den repair som hedder "Reset Winlogon shell. Jeg er ikke sikker på den findes i den gratis version. Den professionelle version af SAS kan du ikke installere i fejlsikret, så hvis den repair ikke er mulig, eller ikke har effekt, så er du nok selv på sporet med næste mulige løsning, en repair. Jeg vil dog kraftigt anbefale dig at lave backup inden repair. Når maskinen har det så skidt, er der en vis risiko for, at repairen kan "køre i ring", eller simpelthen stopper midt i det hele.

Håber det lykkes for dig .

Du har følgende muligheder
Dette spørgsmål er blevet annulleret, det er derfor ikke muligt for at tilføje flere kommentarer.
Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste