Porno side pop-up

http://www.spywarefri.dk/vaerktoj.htm#hijackthis
hent hijack og scan og læg en log herind spå kigger vi på den

Hent Spybot og Hijackthis her : http://www.arlet.dk/spybothjt.htm

Hmmmm. Schumacher blev overhalet inden om

tsk tsk tsk han er ved at blive gammel *GG*

Jeg kan jo desværre ikke kom ind på jeres link så får jeg en side i stedet der heder:  http://sexocean.biz/bonus.htm.

Andre forslag??

http://209.133.47.200/~merijn/files/HijackThis.exe
Kan du hente den her?

Hent først: Spybot Indstaller: http://www.arlet.dk/spybot.exe og kør spybot, tryk opdater, og hent opdateringerne. Derefter trykker du scan. Alle røde filer skal makeres og tryk "afhjælp valgte problemer" og afslut og genstart

Derefter Hijackthis http://www.arlet.dk/hjt.exe Opret en ny mappe på skrivebordet. Tryk gem og gem den i den nyoprettede mappe. Så dobbeltklikker du på filen og trykker Scan derefter ændre scan knappen sig til save log som du så trykker på. Så markerer du teksten og kopierer den, og derefter sætter du den ind i tekstboxen i forummet, så kigger vi på den.

Hvad så nu?

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml
Det kan også være Cwshredder kan fixe det for dig
Hent den scan og fix hvad den finder

John - brugeren HAR kørt spybot ;o)

Er der ikke andre steder man kan hente hijackhits??

Jeg kan maile den til dig...

Det vi være kanon info@regnars.dk

Takker mange gange.

Prøv at starte i fejlsikker tilstand og se om du så kan hente den fil.

Her er den så håber det er rigtigt!!


Logfile of HijackThis v1.97.3
Scan saved at 22:48:37, on 18-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\services\wmplayer.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
C:\WINDOWS\System32\wintit.exe
C:\Programmer\Kodak\KODAK Picture Transfer Software\pts.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ltajgr.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O1 - Hosts: 213.159.117.235 #uto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.00.00.dll
O2 - BHO: (no name) - {A4516296-326F-457E-A78B-8AB620F4763B} - C:\WINDOWS\System32\opilaaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKCU\..\Run: [Coue] C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintit.exe
O4 - Global Startup: KODAK Picture Transfer Software.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Kan du hente cwshredder?

Nå jeg løber loggen igennem nu...

det lyder fint tak.

Først opretter du en mappe kun til hijackthis og lægger programmet derover.

Du skal nu til at i gang med at fixe. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du skal at sætte en vinge ud for disse filer jeg har skrevet nedeunder. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Klik på Fix checkede.

Her er de filer, du skal fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ltajgr.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O1 - Hosts: 213.159.117.235 #uto.search.msn.com
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.00.00.dll
O2 - BHO: (no name) - {A4516296-326F-457E-A78B-8AB620F4763B} - C:\WINDOWS\System32\opilaaa.dll
O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg

O4 - HKCU\..\Run: [WCPS] C:\WINDOWS\System32\wintit.exe
O4 - Global Startup: KODAK Picture Transfer Software.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Derefter genstarter du og sender en ny log ind til check
Du må ikke slå systemgendannelse til før vi har sagt god for din log.

http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Det ville være en god ide at opdatere til SP1

Og hente sikkerhedsopdateringer
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da
Når vi er færdige.

C:\PROGRA~1\RCrawler\RCrawler.exe
Dette program bruger du ikke til noget vel?

nej det gør jeg ikke

Hej her er ny log, håber at høre om den er ok nu??


Logfile of HijackThis v1.97.3
Scan saved at 23:27:00, on 18-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\WINDOWS\system32\services\wmplayer.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.00.00.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKCU\..\Run: [Coue] C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Hej regnar2
Nej det er slet ikke i orden. Det er noget rigtig skrammel du der har fået fat i.

Hent dette lille program og pak filen ud til skrivebordet:

http://www.zero.vulc4n.com/downloads/pv.zip

Når zip filen er pakket ud til skrivebordet (den SKAL pakkes ud, kan ikke køres fra zip), så skal du åbne mappen og dobbeltklikke på Runme.bat.

Et dos vindue vil åbne sig. Vælg option 1 og tryk Enter.

Nu vil Notepad åbne sig med en længere log - kopier teksten herind.

Mvh. Aovergaard/TeamSpywarefri

Jamen Anette da - hva' har du nu fundet på *S*

Victor-1 -> Det er bare noget rigtig skrammel det der, som ikke kan forsvinde på gammeldags manér. De finder da også på nyt spy og virus hele tiden. Strak vi finder ud af hvordan vi fjerner det, så gør det det mere besværligt for os igen. ;-(

Undskyld jeg blander mig lidt igen "regnar2" - men jeg vil spørge "aovergaard" om noget som også kan/bør ha' DIN interesse efter det her. ;o)

Klart det er noget skrammel og det er sikkert "nyt" når du som topspecialist siger det. Men når det så forholder sig som du siger, at det ikke kan fjerne på gammeldags manér, kan vi så heller ikke længere vide os sikre med de sikkerheds-programmer installeret og naturligvis opdaterede, som du anbefaler i din "sikkerheds-pakke" ?

venligst victor-1

victor-1 -> Det her er coolweb nyt og har ikke noget med pakken at gøre, så den skal du stadig føle dig sikker på. De har været meget udspekuleret, og vi kan kun vente på at de knækker den ovre i USA, så den kan tages med CWS igen, men lige nu kan CWS ikke klare denne her. Det drejer sig forhåbentlig kun om dage før CWS bliver opdateret så det prg. snupper den. Selv for os er det så nyt som til i dag/igår, hvor vi har fundet ud af, hvordan vi kan knække "nødden" på anden vis.

Du og de andre fra Spywarefri er altså bare undværlige. Tak fordi I er her !
KÆMPE knus fra mig til dig og fornyet karma på vej *S*

;)Tak for det, men alle i andre kan da heller ikke undværes. *S*

Og jeg siger også undskyld til regnar2 for det spam her. Men nyheder bliver jo nødt til at komme frem i lyset. Du sender bare den lange tekst herind, så skal jeg kigge på den.

Hej

Det er i orden victor.

Tak for tippet aovergaard, men det skidt jeg har fået fat i sider åbenbart på www.mmm-sites.biz. For jeg får ikke denne side og kan derfor ikke hendte det omtalte program. Kan det hentes andre steder??

HÅBER DET KAN

regnar2 -> Jeg har sendt den zip fil til dig som vedhæftede fil

Hej igen, her er lidt at kigge på igen. : )


  Module information for  'Explorer.EXE'
  MODULE          BASE    SIZE    PATH
Explorer.EXE    1000000  1011712 C:\WINDOWS\Explorer.EXE                  6.00.2600.0000 (xpclient.010817-1148) Windows Stifinder
ntdll.dll      77f50000  700416 C:\WINDOWS\System32\ntdll.dll            5.1.2600.0 (xpclient.010817-1148) DLL til NT-lag
kernel32.dll    77e60000  954368 C:\WINDOWS\system32\kernel32.dll          5.1.2600.0 (xpclient.010817-1148) Klient-DLL til Windows NT BASE API
msvcrt.dll      77c00000  339968 C:\WINDOWS\system32\msvcrt.dll            7.0.2600.0 (xpclient.010817-1148) Windows NT CRT DLL
ADVAPI32.dll    77dc0000  634880 C:\WINDOWS\system32\ADVAPI32.dll          5.1.2600.0 (XPClient.010817-1148) Avanceret Windows 32 Base-API
RPCRT4.dll      77cb0000  479232 C:\WINDOWS\system32\RPCRT4.dll            5.1.2600.0 (XPClient.010817-1148) Remote Procedure Call Runtime
GDI32.dll      77c60000  262144 C:\WINDOWS\system32\GDI32.dll            5.1.2600.0 (xpclient.010817-1148) GDI Client DLL
USER32.dll      77d30000  577536 C:\WINDOWS\system32\USER32.dll            5.1.2600.0 (xpclient.010817-1148) Windows XP BRUGER API Klient
SHLWAPI.dll    772c0000  405504 C:\WINDOWS\system32\SHLWAPI.dll          6.00.2600.0000 (xpclient.010817-1148) Shells letvægts-programmappe
SHELL32.dll    773c0000  8351744 C:\WINDOWS\system32\SHELL32.dll          6.00.2600.0000 (xpclient.010817-1148) Dll-fil med fælles dialogbokse til brugergrænsefladen i Windows
ole32.dll      771a0000  1155072 C:\WINDOWS\system32\ole32.dll            5.1.2600.0 (XPClient.010817-1148) Microsoft OLE til Windows
OLEAUT32.dll    77110000  569344 C:\WINDOWS\system32\OLEAUT32.dll          3.50.5014.0          Microsoft OLE 3.50  for Windows NT(TM) and Windows 95(TM) Operating Systems
BROWSEUI.dll    75f60000  1032192 C:\WINDOWS\System32\BROWSEUI.dll          6.00.2600.0000 (xpclient.010817-1148) Dll-fil til Shell Browser-brugergrænsefladen
SHDOCVW.dll    769b0000  1347584 C:\WINDOWS\System32\SHDOCVW.dll          6.00.2600.0000 (xpclient.010817-1148) Dll-fil til håndtering af dokumenter og objekter i Shell
UxTheme.dll    5b250000  212992 C:\WINDOWS\System32\UxTheme.dll          6.00.2600.0000 (xpclient.010817-1148) Microsoft UxTheme-bibliotek
winjkma.dll    61c00000    61440 c:\windows\system32\winjkma.dll         
comctl32.dll    71950000  933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll  6.0 (xpclient.010817-1148) User Experience Controls Library
comctl32.dll    77330000  569344 C:\WINDOWS\system32\comctl32.dll          5.82 (xpclient.010817-1148) Common Controls Library
appHelp.dll    75f20000  118784 C:\WINDOWS\system32\appHelp.dll          5.1.2600.0 (xpclient.010817-1148) Application Compatibility Client Library
CLBCATQ.DLL    76fc0000  491520 C:\WINDOWS\System32\CLBCATQ.DLL          2001.12.4414.42   
COMRes.dll      77040000  819200 C:\WINDOWS\System32\COMRes.dll            2001.12.4414.42   
VERSION.dll    77bf0000    28672 C:\WINDOWS\system32\VERSION.dll          5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries
cscui.dll      76600000  323584 C:\WINDOWS\System32\cscui.dll            5.1.2600.0 (xpclient.010817-1148) Client Side Caching UI
CSCDLL.dll      765e0000  110592 C:\WINDOWS\System32\CSCDLL.dll            5.1.2600.0 (xpclient.010817-1148) Offlinenetværksagent
themeui.dll    5bb10000  458752 C:\WINDOWS\System32\themeui.dll          6.00.2600.0000 (xpclient.010817-1148) API til Windows-tema
Secur32.dll    76f80000    65536 C:\WINDOWS\System32\Secur32.dll          5.1.2600.0 (xpclient.010817-1148) Security Support Provider Interface
MSIMG32.dll    76360000    20480 C:\WINDOWS\System32\MSIMG32.dll          5.1.2600.0 (xpclient.010817-1148) GDIEXT Client DLL
USERENV.dll    75a50000  671744 C:\WINDOWS\system32\USERENV.dll          5.1.2600.0 (xpclient.010817-1148) Userenv
actxprxy.dll    71d10000  110592 C:\WINDOWS\System32\actxprxy.dll          6.00.2600.0000 (XPClient.010817-1148) ActiveX Interface Marshaling Library
msutb.dll      60120000  221184 C:\WINDOWS\System32\msutb.dll            5.1.2600.0 (xpclient.010817-1148) MSUTB Server DLL
MSCTF.dll      746e0000  307200 C:\WINDOWS\System32\MSCTF.dll            5.1.2600.0 (xpclient.010817-1148) DLL-fil til MSCTF-server
netapi32.dll    71bf0000  323584 C:\WINDOWS\System32\netapi32.dll          5.1.2600.0 (xpclient.010817-1148) Net Win32 API DLL
SAMLIB.dll      71bc0000    69632 C:\WINDOWS\System32\SAMLIB.dll            5.1.2600.0 (xpclient.010817-1148) SAM Library DLL
urlmon.dll      760d0000  491520 C:\WINDOWS\system32\urlmon.dll            6.00.2600.0000 (xpclient.010817-1148) OLE32-udvidelser til Win32
mlang.dll      74730000  585728 C:\WINDOWS\System32\mlang.dll            6.00.2600.0000 (xpclient.010817-1148) Multi Language Support DLL
mshtml.dll      747d0000  2805760 C:\WINDOWS\System32\mshtml.dll            6.00.2600.0000 (xpclient.010817-1148) Microsoft (R) HTML Viewer
WININET.DLL    761e0000  618496 C:\WINDOWS\system32\WININET.DLL          6.00.2600.0000 (xpclient.010817-1148) Internetudvidelser til Win32
CRYPT32.dll    762a0000  569344 C:\WINDOWS\system32\CRYPT32.dll          5.131.2600.0 (xpclient.010817-1148) Crypto API32
MSASN1.dll      76280000    61440 C:\WINDOWS\system32\MSASN1.dll            5.1.2600.0 (XPClient.010817-1148) ASN.1 Runtime APIs
RASAPI32.DLL    76ed0000  225280 C:\WINDOWS\System32\RASAPI32.DLL          5.1.2600.0 (xpclient.010817-1148) API til Fjernadgang
rasman.dll      76e80000    69632 C:\WINDOWS\System32\rasman.dll            5.1.2600.0 (xpclient.010817-1148) Remote Access Connection Manager
WS2_32.dll      71a80000    86016 C:\WINDOWS\System32\WS2_32.dll            5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll    71a70000    32768 C:\WINDOWS\System32\WS2HELP.dll          5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0-hjælper til Windows NT
TAPI32.dll      76ea0000  172032 C:\WINDOWS\System32\TAPI32.dll            5.1.2600.0 (xpclient.010817-1148) Microsoft® Windows(TM) Telephony API Client DLL
rtutils.dll    76e70000    53248 C:\WINDOWS\System32\rtutils.dll          5.1.2600.0 (xpclient.010817-1148) Routing Utilities
WINMM.dll      76b30000  184320 C:\WINDOWS\System32\WINMM.dll            5.1.2600.0 (xpclient.010817-1148) MCI API DLL
ntshrui.dll    76980000  147456 C:\WINDOWS\System32\ntshrui.dll          5.1.2600.0 (xpclient.010817-1148) Shell-udvidelser for deling
ATL.DLL        76b10000    86016 C:\WINDOWS\System32\ATL.DLL              3.00.9238            ATL Module for Windows NT (Unicode)
shdoclc.dll    76150000  569344 C:\WINDOWS\System32\shdoclc.dll          6.00.2600.0000 (xpclient.010817-1148) Dll-fil til håndtering af dokumenter og objekter i Shell
LINKINFO.dll    76970000    28672 C:\WINDOWS\System32\LINKINFO.dll          5.1.2600.0 (xpclient.010817-1148) Windows Volume Tracking
msimtf.dll      746b0000  167936 C:\WINDOWS\System32\msimtf.dll            5.1.2600.0 (xpclient.010817-1148) Active IMM Server DLL
scrauth.dll    10000000  110592 C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\scrauth.dll  1, 1, 0, 126        ScriptBlocking Authenticator
ScrBlock.dll    2ce0000  122880 C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\ScrBlock.dll  1, 1, 0, 126        ScriptBlocking
wintrust.dll    76c20000  176128 C:\WINDOWS\System32\wintrust.dll          5.131.2600.0 (xpclient.010817-1148) Microsoft API'er til tillidsbekræftelse
IMAGEHLP.dll    76c80000  139264 C:\WINDOWS\system32\IMAGEHLP.dll          5.1.2600.0 (XPClient.010817-1148) Windows NT Image Helper
rsaenh.dll      ffd0000  139264 C:\WINDOWS\System32\rsaenh.dll            5.1.2518.0 (main.010714-2114) Microsoft Base Cryptographic Provider
cryptnet.dll    73d00000    65536 C:\WINDOWS\System32\cryptnet.dll          5.131.2600.0 (xpclient.010817-1148) Crypto Network Related API
WLDAP32.dll    76f50000  184320 C:\WINDOWS\system32\WLDAP32.dll          5.1.2600.0 (xpclient.010817-1148) Win32 LDAP API DLL
jscript.dll    75c30000  593920 c:\windows\system32\jscript.dll          5.6.0.6626          Microsoft (r) JScript
MSLS31.DLL      74680000  159744 C:\WINDOWS\System32\MSLS31.DLL            3.10.349.0          Microsoft Line Services library file
IMM32.DLL      76370000  106496 C:\WINDOWS\System32\IMM32.DLL            5.1.2600.0 (xpclient.010817-1148) Windows XP IMM32 API Client DLL
SETUPAPI.dll    76660000  942080 C:\WINDOWS\System32\SETUPAPI.dll          5.1.2600.0 (xpclient.010817-1148) API til Windows Installation
NETSHELL.dll    75cd0000  1646592 C:\WINDOWS\system32\NETSHELL.dll          5.1.2600.0 (xpclient.010817-1148) Grænseflade til netværksforbindelser
credui.dll      76bf0000  184320 C:\WINDOWS\system32\credui.dll            5.1.2600.0 (xpclient.010817-1148) Brugergrænseflade til styring af legitimationsoplysninger
iphlpapi.dll    76d50000    86016 C:\WINDOWS\system32\iphlpapi.dll          5.1.2600.2 (xpclient.010817-1148) IP Helper API
netman.dll      76dd0000  155648 C:\WINDOWS\system32\netman.dll            5.1.2600.0 (xpclient.010817-1148) Styring af netværksforbindelser
MPRAPI.dll      76d30000    90112 C:\WINDOWS\system32\MPRAPI.dll            5.1.2600.0 (xpclient.010817-1148) Windows NT MP Router Administration DLL
ACTIVEDS.dll    76e30000  192512 C:\WINDOWS\system32\ACTIVEDS.dll          5.1.2600.0 (xpclient.010817-1148) ADs Router Layer-dll
adsldpc.dll    76e00000  147456 C:\WINDOWS\system32\adsldpc.dll          5.1.2600.0 (xpclient.010817-1148) C-DLL til ADs LDAP-provider
WZCSvc.DLL      76d90000  196608 C:\WINDOWS\system32\WZCSvc.DLL            5.1.2600.0 (xpclient.010817-1148) Konfigurationsfri tjeneste til trådløse forbindelser
WMI.dll        76d20000    16384 C:\WINDOWS\system32\WMI.dll              5.1.2600.0 (XPClient.010817-1148) WMI DC and DP functionality
DHCPCSVC.DLL    76d70000  106496 C:\WINDOWS\system32\DHCPCSVC.DLL          5.1.2600.0 (xpclient.010817-1148) Tjenesten DHCP Client
DNSAPI.dll      76f10000  151552 C:\WINDOWS\system32\DNSAPI.dll            5.1.2600.0 (xpclient.010817-1148) DNS Client API DLL
WTSAPI32.dll    76f40000    32768 C:\WINDOWS\system32\WTSAPI32.dll          5.1.2600.0 (xpclient.010817-1148) Windows Terminal Server SDK APIs
WINSTA.dll      76340000    61440 C:\WINDOWS\system32\WINSTA.dll            5.1.2600.0 (xpclient.010817-1148) Winstation Library
msi.dll        763e0000  2076672 C:\WINDOWS\System32\msi.dll              2.0.2600.0          Windows Installer
webcheck.dll    74af0000  270336 C:\WINDOWS\System32\webcheck.dll          6.00.2600.0000 (xpclient.010817-1148) Overvågning af websteder
stobject.dll    74ac0000  131072 C:\WINDOWS\System32\stobject.dll          5.1.2600.0 (xpclient.010817-1148) Systray shell-tjenesteobjekt
BatMeter.dll    74ab0000    36864 C:\WINDOWS\System32\BatMeter.dll          6.00.2600.0000 (xpclient.010817-1148) Hjælpe-DLL batterimåler
POWRPROF.dll    74a90000    28672 C:\WINDOWS\System32\POWRPROF.dll          6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL
wdmaud.drv      72cd0000    36864 C:\WINDOWS\System32\wdmaud.drv            5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper
sensapi.dll    72280000    20480 C:\WINDOWS\System32\sensapi.dll          5.1.2600.0 (XPClient.010817-1148) SENS Connectivity API DLL
msacm32.drv    72cc0000    32768 C:\WINDOWS\System32\msacm32.drv          5.1.2600.0 (xpclient.010817-1148) Microsoft Sound Mapper
MSACM32.dll    77bd0000    81920 C:\WINDOWS\System32\MSACM32.dll          5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-lydfilter
midimap.dll    77bc0000    28672 C:\WINDOWS\System32\midimap.dll          5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI Mapper
printui.dll    74b40000  536576 C:\WINDOWS\System32\printui.dll          5.1.2600.0 (XPClient.010817-1148) Print UI-DLL
WINSPOOL.DRV    72fb0000  143360 C:\WINDOWS\System32\WINSPOOL.DRV          5.1.2600.0 (XPClient.010817-1148) Windows Spooler-driver
CFGMGR32.dll    74aa0000    28672 C:\WINDOWS\System32\CFGMGR32.dll          5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL
MPR.dll        71af0000    69632 C:\WINDOWS\system32\MPR.dll              5.1.2600.0 (xpclient.010817-1148) DLL til router til flere providere
SXS.DLL        75e70000  659456 C:\WINDOWS\System32\SXS.DLL              5.1.2600.0 (xpclient.010817-1148) Fusion 2.5
drprov.dll      75f40000    24576 C:\WINDOWS\System32\drprov.dll            5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider
ntlanman.dll    71be0000    53248 C:\WINDOWS\System32\ntlanman.dll          5.1.2600.0 (xpclient.010817-1148) Microsoft® Lan Manager
NETUI0.dll      71ca0000    90112 C:\WINDOWS\System32\NETUI0.dll            5.1.2600.0 (xpclient.010817-1148) Fælles kode til brugerflade for NT LM - GUI-klasser
NETUI1.dll      71c60000  245760 C:\WINDOWS\System32\NETUI1.dll            5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes
NETRAP.dll      71c50000    24576 C:\WINDOWS\System32\NETRAP.dll            5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL
davclnt.dll    75f50000    36864 C:\WINDOWS\System32\davclnt.dll          5.1.2600.0 (xpclient.010817-1148) Web DAV-klient-dll
browselc.dll    72400000    73728 C:\WINDOWS\System32\browselc.dll          6.00.2600.0000 (xpclient.010817-1148) Dll-fil til Shell Browser-brugergrænsefladen
NavShExt.dll    3210000  114688 C:\Programmer\Norton AntiVirus\NavShExt.dll  9.05.15              Norton AntiVirusNAVShellExt Module
ccTrust.dll      3250000  106496 C:\WINDOWS\System32\ccTrust.dll          1.08.01              Common Client ccTrust
MSVCP60.dll    76060000  397312 C:\WINDOWS\System32\MSVCP60.dll          6.00.8972.0          Microsoft (R) C++ Runtime Library
AcroIEHelper.dll  1ec0000    45056 C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll  6.0.0.2003051500    Adobe Acrobat IE Helper Version 6.0 for ActivieX
DUSER.dll      6c730000  274432 C:\WINDOWS\System32\DUSER.dll            5.1.2600.0 (xpclient.010817-1148) Windows DirectUser Engine
msohev.dll      32520000    73728 C:\Programmer\Microsoft Office\Office10\msohev.dll  10.0.2609            Microsoft Office XP component
asfsipc.dll    70f70000    28672 C:\WINDOWS\System32\asfsipc.dll          1.1.00.3917          ASFSipc Object
MSISIP.DLL      60b00000    53248 C:\WINDOWS\System32\MSISIP.DLL            2.0.2600.0          MSI Signature SIP Provider
wshext.dll      74e60000    65536 C:\WINDOWS\System32\wshext.dll            5.6.0.6626          Microsoft (r) Shell Extension for Windows Script Host
comdlg32.dll    76390000  282624 C:\WINDOWS\system32\comdlg32.dll          6.00.2600.0000 (xpclient.010817-1148) DLL-fil med fælles dialogbokse
wshDA.DLL      591e0000    53248 C:\WINDOWS\System32\wshDA.DLL            5.6.0.6626          Microsoft (r) Windows Script Host internationale ressourcer
ScrTrust.dll    29f0000    53248 C:\Programmer\Fælles filer\Symantec Shared\Script Blocking\ScrTrust.dll  1, 1, 0, 126        ScriptBlocking Trust Verifier
MCPS.DLL        365a0000    86016 C:\PROGRA~1\MICROS~2\Office10\MCPS.DLL    10.0.2625            Media Catalog Proxy/Stub

Hent dette prg.
http://download.broadbandmedic.com/VbStuff/KillBox.zip

Pak zip-filen ud (højreklik på den og vælg "udpak alle" og følg vejledningen).

Kør TheKillBox og kopier det i parantes (c:\windows\system32\winjkma.dll) ind i tekstfeltet. Nu skal du vælge Action -> Delete on reboot. Nu dukker der et lille vindue op - vælg File -> Add file. Vælg Action -> Process and reboot

Efter genstart af computer: Kør HijackThis, scan og læg en frisk log herind. Næste skridt bliver en StartupList log, men det tager vi, når din HijackThis log er chekket igennem.

Hej igen her er ny log. (fuck i kan nogen tricks) Men det er jeg glad for og takker for i gider at hjælpe. : ).

Logfile of HijackThis v1.97.3
Scan saved at 11:58:18, on 19-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\services\wmplayer.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?bzbjr  about:blank                                                      (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\opilaaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?bzbjr (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?bzbjr (obfuscated)
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\System32\services\2.00.00.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Soundmx] C:\WINDOWS\System32\soundmx.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKCU\..\Run: [Coue] C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Okay så fortsætter vi. Følg nøje rækkefølgen.

Hent cwsschredder her:
http://www.spywareinfo.com/~merijn/junk/CWShredder.exe Kør programmet, tjek for updates, luk alle vinduer, undtaget cwsschredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Genstart

Afinstaller edonkey via tilføj/fjern prg. som du finder i start - kontrolpanelet

Genstart i fejlsikret tilstand, tast f8 under opstart og vælg fejlsikret

Kør Hijakthis og fix disse:
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe –t
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet:
C:\WINDOWS\system32\services\wmplayer.exe>>>services\wmplayer.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe>>>eDonkey2000\eDonkey2000.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe>>>aamh.exe

Genstart normalt

Herefter - Kør HijackThis, klik Config, klik Misc Tools. Sæt flueben i "List also minor .." og "List empty...". Klik Generate StartupList log og svar ja - læg den laaaaange StartupList log herind.

C:\WINDOWS\system32\services\wmplayer.exe Her skal du kun fjerne mappen vmplayer.exe ikke mappen services.

Kan se at jeg skrev forkert.

Hej igen der hvis lidt problemmer her

Følgen var ikke på listen og er derfor ikke fexet:
O4 - HKLM\..\Run: [eDonkey2000] C:\Programmer\eDonkey2000\eDonkey2000.exe –t

Følgen filer kunne ikke slette, den skrev, henviser til en placering der ikke er tilgænglig................

C:\WINDOWS\system32\services\wmplayer.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe>>>eDonkey2000\eDonkey2000.exe

Hvad gør jeg nu??

C:\WINDOWS\system32\services\wmplayer.exe>>> her er det wmplayer.exe der skal findes og slettes, hvis de ikke findes, så er det fordi de er væk. Skidt med det, det ser vi på tilsidst.

Lige nu skal du så følge dette:
Genstart normalt
Herefter - Kør HijackThis, klik Config, klik Misc Tools. Sæt flueben i "List also minor .." og "List empty...". Klik Generate StartupList log og svar ja - læg den laaaaange StartupList log herind.

Hej igen ny log. : )

StartupList report, 19-04-2004, 14:15:32
StartupList version: 1.52
Started from : C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.EXE
Detected: Windows XP  (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Hejdi Olsen\Menuen Start\Programmer\Start]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menuen Start\Programmer\Start]
WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Soltek = C:\WINDOWS\System32\autorun.exe
WinampAgent = "C:\Programmer\Winamp3\winampa.exe"
ccApp = "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
NeroCheck = C:\WINDOWS\System32\\NeroCheck.exe
Dit = Dit.exe
Registry Crawler = C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Programmer\Messenger\msmsgs.exe" /background
Coue = C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]
*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*

--------------------------------------------------

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}] *
StubPath = rundll32 iesetup.dll,IEAccessUserInst

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=
run=

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=C:\WINDOWS\system32\services\wmplayer.exe
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=c:\windows\system32\winjkma.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registreringseditor'

Registry check passed

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Programmer\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Skan Denne computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab
OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\System32\macromed\Shockwave 8\Download.dll
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[Select Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\photoupload.ocx
CODEBASE = http://shopping.jubii.dk:9080/foto/components/photoupload.ocx

[MediaTicketsInstaller Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MEDIAT~1.OCX
CODEBASE = http://www.mt-download.com/MediaTicketsInstaller.cab

[Java Plug-in 1.3.1_03]
InProcServer32 = C:\Programmer\JavaSoft\JRE\1.3.1_03\bin\npjava131_03.dll
CODEBASE = http://java.sun.com/products/plugin/1.3.1/jinstall-131_03-win.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[e-Safekey®]
InProcServer32 = C:\Programmer\Fælles filer\e-Safekey\e-Safekey.dll
CODEBASE = https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

[Danske e-Sec]
InProcServer32 = C:\WINDOWS\DOWNLO~1\DANSKE~1.OCX
CODEBASE = https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll
NameSpace #2: C:\WINDOWS\System32\winrnr.dll
NameSpace #3: C:\WINDOWS\System32\mswsock.dll
Protocol #1: C:\WINDOWS\system32\mswsock.dll
Protocol #2: C:\WINDOWS\system32\mswsock.dll
Protocol #3: C:\WINDOWS\system32\mswsock.dll
Protocol #4: C:\WINDOWS\system32\rsvpsp.dll
Protocol #5: C:\WINDOWS\system32\rsvpsp.dll
Protocol #6: C:\WINDOWS\system32\mswsock.dll
Protocol #7: C:\WINDOWS\system32\mswsock.dll
Protocol #8: C:\WINDOWS\system32\mswsock.dll
Protocol #9: C:\WINDOWS\system32\mswsock.dll
Protocol #10: C:\WINDOWS\system32\mswsock.dll
Protocol #11: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Microsoft ACPI-driver: System32\DRIVERS\ACPI.sys (system)
Microsoft Kernel Acoustic Echo Canceller: system32\drivers\aec.sys (manual start)
Understøttelse af AFD-netværk: \SystemRoot\System32\drivers\afd.sys (autostart)
Alerter: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Gatewaytjeneste til programlaget: %SystemRoot%\System32\alg.exe (manual start)
Programadministration: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
RAS-asynkron mediedriver: System32\DRIVERS\asyncmac.sys (manual start)
Standard IDE/ESDI-harddiskcontroller: System32\DRIVERS\atapi.sys (system)
ATM ARP-klientprotokol: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Lydstubdriver: System32\DRIVERS\audstub.sys (manual start)
AntiVir Update: C:\Programmer\AVPersonal\AVWUPSRV.EXE (autostart)
Tjenesten Background Intelligent Transfer: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Symantec Event Manager: "C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Password Validation Service: "C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe" (manual start)
Cd-rom-driver: System32\DRIVERS\cdrom.sys (system)
Indekseringstjeneste: C:\WINDOWS\System32\cisvc.exe (manual start)
Udklipsbog: %SystemRoot%\system32\clipsrv.exe (manual start)
COM+-systemprogram: C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Kryptografiske tjenester: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Kodak Camera Proxy: System32\DRIVERS\DcCam.sys (system)
DcFpoint: System32\DRIVERS\DcFpoint.sys (manual start)
DCFS2K: system32\drivers\dcfs2k.sys (autostart)
Dcfssvc: %SystemRoot%\system32\drivers\dcfssvc.exe (autostart)
Legacy Polling Service: System32\DRIVERS\DcLps.sys (manual start)
dcptp: System32\DRIVERS\DcPTP.sys (manual start)
DHCP-klientprogram: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Diskdriver: System32\DRIVERS\disk.sys (system)
Logical Disk Manager Administrative Service: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Driver til Logical Disk Manager: System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Logical Disk Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Microsoft Kernel DLS-synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-klient: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
MS IEEE-1284.4-driver: System32\DRIVERS\Dot4.sys (manual start)
Printerklassedriver til IEEE-1284.4: System32\DRIVERS\Dot4Prt.sys (manual start)
Scannerklassedriver til IEEE-1284.4: System32\DRIVERS\Dot4Scan.sys (manual start)
Dot4USB-filter Dot4USB Filter: System32\DRIVERS\dot4usb.sys (manual start)
Microsoft Kernel DRM Audio Descrambler: system32\drivers\drmkaud.sys (manual start)
Tjenesten Fejlrapportering: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Hændelseslog: %SystemRoot%\system32\services.exe (autostart)
COM+-hændelsessystem: C:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Exportit: System32\DRIVERS\exportit.sys (system)
Hurtigt brugerskift-kompatibilitet: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Driver til diskettedrevscontroller: System32\DRIVERS\fdc.sys (manual start)
NT-driver til VIA PCI 10/100Mb Fast Ethernet-netværkskort: System32\DRIVERS\fetnd5.sys (manual start)
Driver til diskettedrev: System32\DRIVERS\flpydisk.sys (manual start)
Driver til diskenhedsstyring: System32\DRIVERS\ftdisk.sys (system)
Spilportoptælling: System32\DRIVERS\gameenum.sys (manual start)
Standardpakkeklassificering: System32\DRIVERS\msgpc.sys (manual start)
Hjælp og support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Adgang til brugerstyrede inputenheder (HID): %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
i8042-tastatur og PS/2-museportdriver: System32\DRIVERS\i8042prt.sys (system)
COM-tjenesten IMAPI cd-skrivning: C:\WINDOWS\System32\imapi.exe (manual start)
Filterdriver til IP-trafik: System32\DRIVERS\ipfltdrv.sys (manual start)
Driver til IP i IP-tunnel: System32\DRIVERS\ipinip.sys (manual start)
Oversætter til IP-netværksadresser: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-driver: System32\DRIVERS\ipsec.sys (system)
Tjeneste til IR-optælling: System32\DRIVERS\irenum.sys (manual start)
PnP ISA/EISA-busdriver: System32\DRIVERS\isapnp.sys (system)
Klassedriver til tastatur: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel Wave-lydmixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbejdsstation: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Tjenesten TCP/IP NetBIOS Helper: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Messenger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
NetMeeting - Deling af fjernskrivebord: C:\WINDOWS\System32\mnmsrvc.exe (manual start)
Klassedriver til mus: System32\DRIVERS\mouclass.sys (system)
Klientomdirigering for WebDav: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
DTC (Distributed Transaction Coordinator): C:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: C:\WINDOWS\System32\msiexec.exe /V (manual start)
Serviceproxy til Microsoft Streaming: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Streaming Clock Proxy: system32\drivers\MSPCLOCK.sys (manual start)
Kvalitetsstyringsproxy til Microsoft Streaming: system32\drivers\MSPQM.sys (manual start)
Norton AntiVirus Auto Protect: "C:\Programmer\Norton AntiVirus\navapsvc.exe" (autostart)
NAVENG: \??\C:\PROGRA~1\FLLESF~1\SYMANT~1\VIRUSD~1\20040417.021\NAVENG.Sys (manual start)
NAVEX15: \??\C:\PROGRA~1\FLLESF~1\SYMANT~1\VIRUSD~1\20040417.021\NavEx15.Sys (manual start)
Remote Access NDIS TAPI-driver: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-protokol til I/O i brugertilstand: System32\DRIVERS\ndisuio.sys (manual start)
Remote Access NDIS WAN-driver: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-grænseflade: System32\DRIVERS\netbios.sys (system)
NetBT: System32\DRIVERS\netbt.sys (system)
Network DDE: %SystemRoot%\system32\netdde.exe (manual start)
Network DDE DSDM: %SystemRoot%\system32\netdde.exe (manual start)
Netlogon: %SystemRoot%\System32\lsass.exe (manual start)
Netværksforbindelser: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NT LM Security Support Provider: %SystemRoot%\System32\lsass.exe (manual start)
Flytbare lagermedier: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Filterdriver til IPX-trafik: System32\DRIVERS\nwlnkflt.sys (manual start)
Driver til IPX-trafikvideresendelse: System32\DRIVERS\nwlnkfwd.sys (manual start)
Driver til parallel port: System32\DRIVERS\parport.sys (manual start)
PCI Bus Driver: System32\DRIVERS\pci.sys (system)
Padus ASPI Shell: system32\drivers\pfc.sys (manual start)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC Policy Agent: %SystemRoot%\System32\lsass.exe (autostart)
WAN-miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Driver til processor: System32\DRIVERS\processr.sys (system)
Beskyttet lager: %SystemRoot%\system32\lsass.exe (autostart)
QoS-pakkeplanlægning: System32\DRIVERS\psched.sys (manual start)
Driver til direkte, parallel forbindelse: System32\DRIVERS\ptilink.sys (manual start)
Driver til Remote Access Auto Connection: System32\DRIVERS\rasacd.sys (system)
Remote Access Auto Connection Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
Remote Access Connection Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remote Access PPPOE-driver: System32\DRIVERS\raspppoe.sys (manual start)
Direkte parallel: System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Driver til Terminal Server-enhedsomdirigering: System32\DRIVERS\rdpdr.sys (manual start)
Hjælp til Sessionsstyring til Fjernskrivebord: C:\WINDOWS\system32\sessmgr.exe (manual start)
Filterdriver til digital cd-lydafspilning: System32\DRIVERS\redbook.sys (system)
Routing og Remote Access: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Remote Registry: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remote Procedure Call (RPC) Locator: %SystemRoot%\System32\locator.exe (manual start)
Remote Procedure Call (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
S3Psddr: System32\DRIVERS\s3gnbm.sys (manual start)
SAM (Security Accounts Manager): %SystemRoot%\system32\lsass.exe (autostart)
SAVRT: \??\C:\WINDOWS\System32\Drivers\SAVRT.SYS (manual start)
SAVRTPEL: \??\C:\WINDOWS\System32\Drivers\SAVRTPEL.SYS (autostart)
ScriptBlocking Service: C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart)
Chipkort Hjælp: %SystemRoot%\System32\SCardSvr.exe (manual start)
Chipkort: %SystemRoot%\System32\SCardSvr.exe (manual start)
Opgavestyring: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (manual start)
Alternativt logon: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
System Event Notification: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-filterdriver: System32\DRIVERS\serenum.sys (manual start)
Seriel portdriver: System32\DRIVERS\serial.sys (system)
Firewall til Internetforbindelse / Deling af Internetforbindelse: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Hardwaregenkendelse på brugergrænsefladen: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Microsoft Kernel Audio Splitter: system32\drivers\splitter.sys (manual start)
Print Spooler: %SystemRoot%\system32\spoolsv.exe (autostart)
Filterdriver til Systemgendannelse: \SystemRoot\System32\DRIVERS\sr.sys (disabled)
Tjenesten Systemgendannelse: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
SSDP-genkendelsestjeneste: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Windows-billedscanning: %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Software-busdriver: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetable-synthesizer: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: C:\WINDOWS\System32\dllhost.exe /Processid:{5420613E-1270-4E36-B0C2-4E2DF3C1BC10} (manual start)
SymEvent: \??\C:\Programmer\Symantec\SYMEVENT.SYS (manual start)
SYMREDRV: \??\C:\WINDOWS\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \??\C:\WINDOWS\System32\Drivers\SYMTDI.SYS (autostart)
Microsoft Kernel System Audio-enhed: system32\drivers\sysaudio.sys (manual start)
Performance Logs and Alerts: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telekommunikation: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-protokoldriver: System32\DRIVERS\tcpip.sys (system)
Driver til terminalenhed: System32\DRIVERS\termdd.sys (system)
Terminal Services: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Temaer: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Telnet: C:\WINDOWS\System32\tlntsvr.exe (manual start)
Distributed Link Tracking Client: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Opdateringsdriver til mikrokode: System32\DRIVERS\update.sys (manual start)
Upload Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Vært for Universal Plug and Play-enhed: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
UPS (Uninterruptible Power Supply): %SystemRoot%\System32\ups.exe (manual start)
USB2-aktiveret hub: System32\DRIVERS\usbhub.sys (manual start)
Driver til USB-lagerenhed: System32\DRIVERS\USBSTOR.SYS (manual start)
Microsoft USB-universel værtscontroller miniportdriver: System32\DRIVERS\usbuhci.sys (manual start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
VIA AGP-busfilter: System32\DRIVERS\viaagp.sys (system)
VIA AGP Filter: System32\DRIVERS\viaagp1.sys (system)
ViaIde: System32\DRIVERS\viaidexp.sys (system)
VIA AC'97 Audio Controller (WDM): system32\drivers\viaudio.sys (manual start)
Øjebliksbillede af diskenhed: %SystemRoot%\System32\vssvc.exe (manual start)
VIA USB Host Controller Lower Filter: \SystemRoot\System32\Drivers\vulfnth.sys (manual start)
VIA USB Roothub Lower Filter: \SystemRoot\System32\Drivers\vulfntr.sys (manual start)
Windows Time: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Remote Access IP ARP-driver: System32\DRIVERS\wanarp.sys (manual start)
Microsoft WINNM WDM-kompatibel lyddriver: system32\drivers\wdmaud.sys (manual start)
Webklient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows Management Instrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Serienummer for bærbart medie: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows Management Instrumentation-driverudvidelser: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WMI-ydelseskort: C:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Automatiske opdateringer: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Automatisk konfiguration af trådløse enheder: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 31.112 bytes
Report generated in 0,381 seconds

Command line options:
  /verbose  - to add additional info on each section
  /complete - to include empty sections and unsuspicious data
  /full    - to include several rarely-important sections
  /force9x  - to include Win9x-only startups even if running on WinNT
  /forcent  - to include WinNT-only startups even if running on Win9x
  /forceall - to include all Win9x and WinNT startups, regardless of platform
  /history  - to list version history only

Nu skal du kopiere teksten i parentes - du skal ikke kopiere parantesen med over i Notepad, i filtype skal du vælge "Alle filer" og gemme den som appinit.reg på Skrivebordet.

(Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="")

Når du har gjort det, så dobbeltklik på filen (den ligger på Skrivebordet) og svar ja til at lade filen "flette".

Genstart

Kør HijackThis, scan og læg en frisk log herind.

Kan se det godt kan misforståes lidt. Det er dette her du skal kopier i notepad - notesblok:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

Gem som appinit.reg, i filtype skal du vælge "Alle filer" og du gemmer på skrivebordet. Håber det her er lidt mere forståeligt - og ikke så kryptisk.

Dobbeltklik derefter på filen, svar ja til at lade filen "flette". Genstart og så en alm. hijack log herind til tjek.

Hej igen endnu en log *S*. Det er hvis set værste rod der nogen sinde er sket for mig og min computer. *S*

Logfile of HijackThis v1.97.3
Scan saved at 15:35:47, on 19-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Winamp3\winampa.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\DitExp.exe
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Coue] C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Ja ja, nu er vi tæt på. Alt det værste er væk nu og heldigvis for det.

Kør en scanning med Hj, fix disse herunder. Husk at lukke alle andre vinduer mens du gør det.

Det er disse, som skal fixes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe

O4 - HKCU\..\Run: [Coue] C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Dem her kan du også med fordel fixe. De forsvinder ikke, kun fra run, og her ligger de bare og sluger dine kræfter:
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmer\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
----------------------------------------------------------------

Du skal stadig kunne se alle filer og mapper.

Genstart i fejlsikret tilstand søg og slet:
C:\Documents and Settings\Hejdi Olsen\Application Data\aamh.exe

Genstart og så en forhåbentlig sidste log herind til tjek.

Du er hullet som en si. Jeg vil råde dig kraftigt til at hente og installere Sp1 til Windows og IE samt alle kritiske opdateringer her:
http://v4.windowsupdate.microsoft.com/da/default.asp

Hej igen jeg takker lige igen for hjælpen, min computer begynder at opføre sig som jeg har ønsket mig.

Har du flere forslag til hvordan jeg kan sikre min computer?? Skal jeg købe norton fairwall?? ( hvis jeg ikke gør noget har jeg hvis ikke fortjent alt den hjælp.)

Logfile of HijackThis v1.97.3
Scan saved at 16:24:59, on 19-04-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Documents and Settings\Hejdi Olsen\Skrivebord\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Registry Crawler] C:\PROGRA~1\RCrawler\RCrawler.exe -TRAYONLY
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add
O12 - Plugin for .mp3: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.danskebank.dk
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {59B18099-4C1D-4A08-A9F7-ED0554006749} (Select Class) - http://shopping.jubii.dk:9080/foto/components/photoupload.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab

Du kan starte med at hente opdateringer til Windows:

http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Hent (download) og gem, derefter installer -
Internet Explorer 6.0 SP1 Full version og Windows XP Service Pack 1
Husk at vælge det rigtige sprog.

Ja det er utrolig vigtigt at du får hentet den opdatering hjem, ellers er det hele spildt. Og jeg skal da også lige have givet dig nogle råd, som kan sikre dig for fremtiden.

Din computer er nu helt ren og du må gerne slå systemgendannelsen til igen.
For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra vores lille pakke som du kan se her:
http://www.spywarefri.dk/pakken.htm

Især vil jeg anbefale Spybot/og eller Ad-aware, SpywareBlaster, IE Privacy Keeper/el. EmtyTempFolder, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer

Og så skal du også lige skjule dine filer og mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Hej igen

Jeg vil lige sige du har lavet et utroligt flot stykke arbejde og det er jeg meget glad for. *S*. Jeg har endvidere fået mig en lære streg og vil nu sikker min computer.

Jeg vil nu give dig dine point.

Mange tak

VH
Kristian Pedersen

Aovergaard -> Flot arbejde..

Takker for point;) Godt at du har fået dig en lærestreg, men den var lidt dyr den lærestreg, når det nu skulle være. Håber at du er mere sikker for eftertiden. *S*

Og også tak til dig Arlet *S*

Til aovergaard:
Jeg ved ikke hvor meget det har at sige - men den scanning er taget med Hijackthis v1.97.3 og nyeste er v1.97.7 ????

John stigers. Nej, det har ikke noget at sige.

Download firefox.... Den har pop-up filter...


www.mozilla.com