Stadig problemer med spyware efter download af div. sikkerhedspro

Ja, selvfølgelig. Løber den igennem med det samme

Ok, kigger den lige igennem, der går lige lidt tid, så får du svar

Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for alle disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R3 - URLSearchHook: ViewSource Class - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\Documents and Settings\x\Application Data\winshow\winshow.dll
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set -- by windows setup –
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O8 - Extra context menu item: Web Search - c:\windows\ex.htm
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O19 - User stylesheet: c:\windows\system.css


Genstart din computer i fejlsikret tilstand find disse og slet dem:
C:\WINDOWS\System32\mshta.exe
C:\windows\winlogon.exe


Efter genstart skal du tage en ny scanning med HijackThis og ”smide” en ny log herind, så jeg kan kontrollere, at det hele er væk.

Disse er unødvendige at have liggende I din opstart, da de alle kan nås via startprogrammer. De ligger bare og ”sluger” computerens kræfter.
Du kan Fjerne vingen til venstre for følgende programmer, hvis du ønsker det:
Start
Kør
Skriv: msconfig
Ok
Fanebladet start
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE

Mvh. Aovergaard/Team Spywarefri

Her er anden log !MVH
Zoom

Logfile of HijackThis v1.97.3
Scan saved at 21:04:55, on 21-11-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\mshta.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\x\Lokale indstillinger\Temp\Midlertidig mappe 41 for hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A

Så er du helt clean, og kan nu aktiver din systemgendannelse igen. For at vedblive med at være clean, skal du lige have lidt råd med på vejen. Nu skal du jo ikke lige bytte dit AV ud, men læs det hele alligevel. *S*

Vi har også en lille paranoia pakke løsning, som du lige får med på vejen

Jeg har her lavet en lille ”paranoia pakke” fyldt med bitte små prg. som ikke fylder meget på din computer, og som alle kører uden at de konflikter med hinanden. Alle programmerne er garanteret fri for spyware og er desuden Free prg. Du syntes sikkert, det var da frygtelig mange prg. som du skal installere, men det er desværre blevet sådan at det faktisk ikke mere er virus som er Internettets store problem, men i højere grad spyware, trojanere, malware og hijacking. De prg. som jeg vil foreslå at du kan installere er følgende, som du alle kan finde på dette link: http://www.spywarefri.dk gå til værktøjer, her er de alle og på de fleste er der også en dansk manual. Hvis du installere alle disse små programmer kan du roligt surfe på Nettet uden du skal sidde og være bange for at få alt for meget skidt med ned på din computer.

Man kan hver dag på forsiden af Spywarefri se om der er nye opdateringer. Husk at opdater jævnligt, det er meget vigtigt, for at få den maksimale beskyttelse af programmerne.

Antivirusprg: 
Et godt bud her er Avast som kan rigtig meget. Indeholder en email-scanner . Opdaterer virusdefinitionerne. Dette Antivirus prg. er på fuld højde med dem man køber, hvad angår effektivitet. Ok, layout er gammeldags, men det kommer også fra Tjekkiet, men det er et virkelig godt prg.
Derudover er det en god ting engang imellem at onlinescanne for virus. Dette kan du også gøre på spywarefri. Du bør også onlinescanne for spyware og det kan du gøre med X-Cleaner som du ligeledes kan finde på spywarefri.

SpywareGuard.
SpywareGuard. Dette prg. fungerer på samme måde som et Antivirus prg. Det ligger og passer på dig i baggrunden, bare imod spyware og malware i stedet for virus, men fungerer i princippet på samme måde. Derudover passer dette prg. også på at du ikke bliver hijacked.

Spywareblaster.
Det er et lille prg. som ligger sig i registreringsdatabasen og sørger for at der ikke kommer spy på din computer.

Spybot el. Ad-aware.
Spybot el. Ad-aware. Spybot er nok den som finder mest af disse to, men jeg ville nok installere dem begge to hvis jeg var dig, det som det ene prg. ikke finder, finder det andet prg. Det disse prg. gør er, hvis du får noget spy ind på din pc som Spywareblaster ikke kender, kan de finde og fjerne dette spy.

IE-Spyad.
Et lille prg. som ligger sig i registreringsdatabasen. Det ligger en mængde kendte spy Url adresser ind i klassificeret zone, således at du ikke ved et uheld kommer ind på disse grimme spysider.

Startup Monitor
Kunne også være rar at have installeret. Det er et lille prg. som også ligger sig i registreringsdatabasen. Det som dette prg. kan gøre for dig er, hvis der lige pludselig uden dit vidende ligger sig et prg. f.eks. en trojansk hest i din regedit, vil du blive alarmeret om at der er et prg. som vil ligge sig her, og du vil bliver spurgt om du nu også vil tillade dette.


EmtyTempFolder
Dette prg. tømmer hver 5 min. alle dine cookies. Det kan også sættes til automatisk at tømme din History samt alle URL adresser som du har været ude på. Er god til at rydde op i alle disse adresser, cookies og history som man har liggende og fylde på computeren.

Hvis man så har enten kabelnet eller ADSL ja så ville jeg jo også varmt anbefale en firewall. Det er desværre alt for nemt for en hacker at komme inde på din computer hvis du ikke har installeret en firewall. Et godt bud her kunne være Bitguard som du kan købe her: http://www.tryus.dk/start.asp
Dette er kun vejledende men jeg mener dog at du som det mindste bør installere: SpywareBlaster, SpywareGuard, Spybot, EmtyTempFolder (nej til cookies på din pc) og IE-Spyad og så selvfølgelig et Antivirusprg.

Udover jeg har fortalt dig at det er utrolig vigtigt hele tiden at opdatere de forskellige programmer mod både Spyware og virus, så er det også meget vigtigt at du hele tiden sørger for at opdatere din Firewall og ikke mindst dit styresystem Windows.

Så kan jeg også kun varmt anbefale dig at få lukket for Dcom. Det kan du gøre via dette link: http://www.spywarefri.dk/tipsogtricks.htm#DCom her kan du også læse lidt om Dcom, hvad det er for noget, samt at det er noget du slet ikke har brug for, så vil jeg stærk anbefale dig at lukke for denne. Vi er blevet gjort opmærksomme på at der er nye varianter af Blaster virus på vej, som vil gå gennem Dcom. Det skal heller ikke være nogen hemmelighed at det faktisk er ved at være et krav at man også kører med en firewall som beskyttelse, især lige nu hvor der er flere huller i IE som WindowsUpdate ikke har nogen løsning på lige pt.

Når jeg starter computeren får jeg besked om der skulle være en kørselsfejl , den skulle være
: [1676] C:\WINDOWS\system32\mshta.exe

mshta.exe kan jeg huske var en af de filer jeg slettede ?

Du kan læse her hvordan du genopretter filen:
http://support.microsoft.com/?kbid=285195
Men læs lige her, og se om du vil genoprette den:
http://www.nsclean.com/psc-htas.html

Prøv lige at se om du ikke kan finde den henvisning til denne fil i Win.ini og fjern henvisning til den herfra.

aovergaard >> Jeg er ikke lige klar over hva du mener med en henvisning ? Du bad mig om at slette den der "mshta.exe" men hvorfor popper der noget op og siger kørselsfejl herefter især når jeg starter windows ?

Jeg syntes også stadig jeg har problemer med at min startside ændre sig og at noget indsætter links ind i mine foretrukne. Jeg har lavet en log fil mere som du kan se jeg vil gerne være sikker på at der ikke er noget skidt tilbage inden jeg fortsætter ?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\dvx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\x\Lokale indstillinger\Temp\Midlertidig mappe 44 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set -- by windows setup --
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ieupdate] C:\WINDOWS\system32\dvx.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A84-A92D-75504DC70727}: NameServer = 212.54.64.170,212.54.64.171
O19 - User stylesheet: c:\windows\system.css

Der er kommet noget at det i fixed tilbage, samt nyt til.

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.spywarefri.dk/virus.htm#alle derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKLM\..\Run: [Updates] C:\WINDOWS\system32\msupdate.exe
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set -- by windows setup --
O4 - HKCU\..\Run: [ieupdate] C:\WINDOWS\system32\dvx.exe
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O19 - User stylesheet: c:\windows\system.css


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\dvx.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må de aktiver din systemgendannelse igen.

ok jeg går igang igen igen :-)

ja, så skal det væk nu....

Jeg har fundet de to her på begge mine hardiske når jeg søger

mshta
MSHTA.EXE-331DF029.pf

skal de begge slettes ?

ja, væk med dem

disse 2 finder jeg ikke :

C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\dvx.exe

har du søgt i skjulte filer og mapper

hvis du leder manuelt, skal du sætte mappeindstillingerne til at vise skjulte filer

Det hjalp jeg fandt nu:

3 stk. svchost.exe
SVCHOST.EXE-16C7D411.pf
SVCHOST.EXE-38A14A50.pf

samt

dvx
DVX.EXE-100A5267.pf

skal de alle slettes ?

svchost.exe skal kun slettes, hvis den ligger i:

c:\windows\svchost.exe

hvis den ligger i system32 mappen er den god nok og må ikke slettes
------------------------------------------------------
dvs.exe skal slettes hvis du har fundet den i system32 mappen

Bare så du ikke misforstår det med svchost.exe:

svchost.exe skal kun slettes, hvis den ligger i:

c:\windows\
---------------------------------------------------
hvis den ligger i system32 mappen er den god nok og må ikke slettes
------------------------------------------------------
dvs.exe skal slettes hvis du har fundet den i system32 mappen

Det var aovergaard der lige så det*S*

ok den er slettet

hvad med dvx.exe skal kun slettet hvis den ligger i windows

dvs.exe skal kun slettes, hvis den ligger i system32 mappen!!!

Genstart og ny log

hej
dvx.exe kan jeg ikke finde den er heller ikke i skjulte mapper.
Her er ny log:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\mcp4.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\x\Lokale indstillinger\Temp\Midlertidig mappe 49 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ieupdate] C:\WINDOWS\System32\mcp4.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A84-A92D-75504DC70727}: NameServer = 212.54.64.170,212.54.64.171

Forstår godt at du ikke kan finde den, for den har ændret sit navn.

skal fixes i hijackthis:
O4 - HKCU\..\Run: [ieupdate] C:\WINDOWS\System32\mcp4.exe


genstart i fejlsikret og slet:
C:\WINDOWS\System32\mcp4.exe

jeg fandt den og fik den slettet
ny log:



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Messenger\msmsgs.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\x\Lokale indstillinger\Temp\Midlertidig mappe 50 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [Msoffice] C:\WINDOWS\Fonts\msoffice.hta
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Registration-Studio 8.lnk = C:\Programmer\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: PopupPopper Kontrol Panel (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37678.1788657407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C864CBFE-1EB9-4A84-A92D-75504DC70727}: NameServer = 212.54.64.170,212.54.64.171

Så er den væk og du er hel ren.

Skynd dig at aktiver din systemgendannelse igen

Og få installeret de programmer aovergaard fortalte om her 22/11-2003 03:42:14

ok tak jeg giver nok lidt brød til kaffen *S*

dette sidste log indhold her : Kan jeg regne med at alt andet end detindhold den har nu, er snavs fremover ?

Zoom

Nej, det kan du desværre ikke, det ville være nemt.

Hvis du installer et program lægger den sig i loggen, nogle gange under et andet navn, så det kan du ikke gå efter, desværre*S*

Men hvis du installer den pakke, får du heller ikke snavs ind mere, det er sikkert...

takker for point:)