Supergenstridig Home Search

glemte lige at sige at det naturligvis er i registreringsdatabasen jeg har slette alt hvad der havde med hgvcp.dll, {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} og apirb.dll at  gøre at gøre

Den er også rigtig modbydelig, men lad os se om ikke vi kan alligevel.

Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.


Du skal nu til at i gang med at fixe.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\hgvcp.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hgvcp.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hgvcp.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\hgvcp.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hgvcp.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\hgvcp.dll/sp.html#37680
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll
O4 - HKLM\..\Run: [ntny.exe] C:\WINNT\system32\ntny.exe

-------------------------------------------------------------------
For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret tilstand søg og slet:
C:\WINNT\hgvcp.dll
C:\WINNT\system32\apirb.dll
C:\WINNT\system32\ntny.exe

C:\DOCUME~1\xxxxxxxxx\LOKALE~1\Temp - Tøm alt i mappen Temp, tøm ALLE temp mapper på din PC, og derefter skal du tømme din papirkurv.

Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Genstart, og kopier en ny log herind.

Hej Fromsej
Fulgte din anvisning nøje først.
Kunne inde i taskmanager ikke lukke avgserv.exe (access denied), men lukkede alt hvad jeg ellers kunne der havde med anti virus at gøre
CWShredder sagde at min maskine var helt clean...fandt altså intet.
I registreringsdatbasen fandt jeg intet med HomeOldSP men til gengæld disse to:
Local Page C:\WINNT\system32\blank.htm
Start Page Res://hgvcp.dll/index.html#37680
men slettede dem ikke da du ikke havde sagt de skulle slettes....men går ud fra at de skal

Fandt en About:blank og slettede den
fixede hvad du sagde med HiJackThis og fandt og fjernede følgende:
hgvcp.dll
apirb.dll
ntny.exe

Og tømte alle Temp foldere såvel som min papirkurv, men da jeg genstartede var det hele der igen.
Prøvede så samme fremgangsmåde en gang til men CWShredder fandt stadig ingenting. Kørte så samtidig About.Buster og HSRemover der begge fandt en masse og fixede det, men da jeg genstartede så min nye logfil således ud:

Logfile of HijackThis v1.97.7
Scan saved at 17:22:47, on 18-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\HPHipm11.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
C:\WINNT\atlxs.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\tiewf.dll/sp.html#37680
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ntny.exe] C:\WINNT\system32\ntny.exe
O4 - HKLM\..\Run: [atlxs.exe] C:\WINNT\atlxs.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Skal jeg ikke også ind i registreringsdatabasen og fjerne alt hvad der har med den nye tiewf.dll og {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} apirb.dll samt ntny.exe og den nye atlxs.exe der pludselig er dukket op???

Jeg troede ikke man kun hade noget så meget som jeg hader CWS.
Nok om det, lad os prøve denne angrebsvinkel.
1.Download Reglite - http://www.resplendence.com/reglite
2.Installer Reglite og kør programmet, skriv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs ind i "Adress" feltet, tryk <Enter>.
3.Dobbeltklik på AppInit_DLLs for at åbne "Data Editor", hvis det nederste felt kaldet "Value" indeholder en .dll fil er det den vi leder efter.
4.Den kan ikke slettes endnu, skriv stien og navnet ned på et stykke papir, det skal bruges senere.
5. I venstre vindue, højreklik på mappen "Windows"(Den er fremhævet med lilla), vælg "Rename" og omdøb den til "Notwindows".
6.Klik på AppInit_DLLs igen, slet værdien der indeholder .dllén klik OK, så burde den være væk.
7.Omdøb "Notwindows" tilbage til "Windows"
8.Kør Spybot, Ad-aware og CWShredder, husk at opdatere online inden du kører programmet.
9.Nu er det tid til at slette den .dll fil.
10.Boot op i kommandoprompt:
Win98/ME skal bruge en bootdiskette, hent evt en på www.bootdisk.com (Win98 OEM), Win2K/XP skal boote op på CDén med styresystemet, tryk en tast når den spørger om den skal boote fra CD, vælg så "R", vælg kommandoprompt.
11.I prompt tjekker man lige om .dll filen ligger der.
DIR \sti\til\dll\sletmig.dll<Enter>
Det går vi ud fra den er, så det punkt kan undværes.
12.Skift til mappen hvor filen ligger med kommandoen:
cd sti\til\dll\ <Enter>( typisk C:\Windows\system32 eller i 2K C:\Winnt\system32)
13.Skriv så attrib -r sletmig.dll<Enter> så er skrivebeskyttelsen væk.
14.Skriv del sletmig.dll<Enter> og væk er den.
15.Stadig i den mappe hvor sletmig.dll var, skriv dir sletmig.dll så skulle meldingen "filen blev ikke fundet" gerne dukke op.
16.Genstart i fejlsikret tilstand, kør Spybot, Ad-aware og CWShredder en gang til for en sikkerheds skyld.
17.Genstart normalt, lav en frisk Hijackthislog og læg den ind i forum.

Totalt provokerende HiJacker den der Home Search...specielt de Pop Up'er der fortæller en at man nok har fået en Spyware på halsen og løfter om at blive fri for den igen....nå nok om det

Når jeg åbner reglite og paster HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs kommer der noget der ligner stifinder op, men jeg kan ikke finde noget AppInit_DLLs at dobbeltklikke på???
I højre vinduer ses følgende:

(default)
DeviceNotSelectedTimeout
GDIProcessHandQuota
Spooler
swapdisk
TransmissionRetry timeout
USERProcessHandleQuota

En anden ting er at min Windows 2000 er en engelsk udgave så de komando promter du skriver kan jeg vel ikke bruger?

Stierne er ligeglade med om det er en engelsk eller dansk Win2K, det der er problemets kerne er det her:
sp.html#37680
De nummer infektioner er en pest af dimensioner og næsten umulige at få has på, jeg tror jeg bliver nødt til at sammenkalde de af Teamet der ikke er på ferie, så må vi se om vi kan finde en løsning på den, det er et nummer jeg ikke har set før.
Så jeg er bange for at vi ikke kommer med noget brugbart for en gang sent i morgen.
Men vi skal nok se om vi kan finde en løsning.

Lad os lige se en frisk log fra dig.

Min seneste log
Logfile of HijackThis v1.97.7
Scan saved at 23:46:31, on 18-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3ar.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
C:\WINNT\atlxs.exe
C:\WINNT\system32\HPHipm11.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscf32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\tiewf.dll/sp.html#37680
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ntny.exe] C:\WINNT\system32\ntny.exe
O4 - HKLM\..\Run: [atlxs.exe] C:\WINNT\atlxs.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [FailedTest] syscf32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [FailedTest] syscf32.exe
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O4 - Startup: H3 The Shadow of Death(TM).lnk = C:\Program Files\3DO\Heroes3\RegisterSOD\Remind32.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Ok så er jeg klar med en lang information til dig.

1. Hent værktøjet About:Buster lavet af Rubber Ducky.

http://tools.zerosrealm.com/AboutBuster.zip

Opret en mappe på dit skrivebord, og pak About:Buster ud i denne mappe. Du skal ikke køre det endnu, kun pakke det ud.

2. Hent dette regcleaner Supreme program, som er gratis i en 30 dages periode.  Skal bruges senere i forløbet.

http://www.webmasterfree.com/regcleaner.html

3. Hent og installer denne engangsskanner fra Kaspersky, gem det til senere hvor du skal bruge det:

http://www.mwti.net/antivirus/free_utilities.asp

---------------------------------------------------------------------------------------

4. Slå nu systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her:

http://www.spywarefri.dk/virusscannere.htm#alle

---------------------------------------------------------------------------------------

5. Du skal nu trække netstikket ud af din computer. Du må ikke åbne Internet Explorer før i pkt. 13. (så du må printe instruksen ud).

Tryk CTRL+ALT+DEL, vælg fanebladet Processer, find og højreklik på processerne:

C:\WINNT\d3ar.exe
C:\WINNT\atlxs.exe
C:\WINNT\system32\sysec.exe
C:\WINNT\system32\syscf32.exe
og vælg Afslut proces.

-------------------------------------------------------------------------------------

6. Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\tiewf.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://tiewf.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\tiewf.dll/sp.html#37680

O2 - BHO: (no name) - {8BA5AA24-CFC3-8FE8-E181-DF46D25744A6} - C:\WINNT\system32\apirb.dll

O4 - HKLM\..\Run: [ntny.exe] C:\WINNT\system32\ntny.exe
O4 - HKLM\..\Run: [atlxs.exe] C:\WINNT\atlxs.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\Run: [FailedTest] syscf32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] sysec.exe
O4 - HKLM\..\RunServices: [FailedTest] syscf32.exe

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v5.cab

---------------------------------------------------------------------------------------

7. Nu lukker du ALLE vinduer. Find den mappe hvori du lagde About:Buster. Kør programmet - tryk ok til meddelelsen, tryk på start. Kopier den log, som kommer frem i den anden hvide boks. Gem den i notesblok, da du muligvis skal bruge den lidt senere.

---------------------------------------------------------------------------------------

8. Så skal vi lige være sikre på at du kan se alle filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------------------------------------

9. Åbn Notepad/Notesblok du finder det under - Start - Tilbehør. Kopier dette her ind i Notepad/Notesblok:


del C:\WINNT\d3ar.exe /f
del C:\WINNT\atlxs.exe /f
del C:\WINNT\system32\sysec.exe /f
del C:\WINNT\system32\syscf32.exe /f
del C:\WINNT\system32\ntny.exe /f
del C:\WINNT\system32\apirb.dll /f
del C:\WINNT\tiewf.dll /f


Gem filen som: clear.bat
I filtypen skal der stå ”Alle filer” - Klik derefter på gem.

Luk ALLE vinduer - dobbeltklik på filen clear.bat - det kan du roligt gøre et par gange.

For en sikkerheds skyld skal du bagefter, tjekke om disse filer er blevet slettet. Hvis
de ikke er, prøv da at slette dem manuelt. Hvis du ikke kan slette dem, og der opstår
fejl, prøv da at trykke ”ctrl+alt+del” og afslut dem i ”Taskmanager” og prøv så at
slette dem.

---------------------------------------------------------------------------

10. Kør HijackThis igen og se om de ting du lige har slettet er kommet igen. Hvis de er kommet igen, marker da disse filer igen ligesom før og fix dem, og kør igen About:Buster (At gøre dette to gange er ikke ualmindeligt).

11. Kør så Regsupreme som du har hentet tidligere og fix/fjern det den finder

12. Bagefter kører du så engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

13. Sæt internetstikket i igen. Hent denne fil her, og gem den i C\Windows\System32 : http://home8.inet.tele.dk/fbj/SHELL.DLL

14. Genstart - Kør en ny scanning med Hijackthis, og kopiere en frisk log herind.

hej Fromsej
Jeg har fødselsdag i dag og skal på campingtur med min søde kæreste, så jeg får ikke tid til det her før i morgen tirsdag aften. Men forløbig mange tak fordi du gider hjælpe. Sender en ny log så snart jeg er på igen.

MVH Werner

Helt i orden, så er både Aovergaard og jeg klar ved tasterne, eller mindst en af os.
den løsning aovergaard har lagt burde knække bæstet, men vi skal have en frisk log, og du må ikke genstarte efter vi har fået den, før vi giver grønt lys.

Den nye log vi skal se, er jo selvfølgelig efter at du har fulgt min anvisning. Og så som fromsej siger, du må efter du har lagt den nye log ind - IKKE genstarte før vi siger til. Rigtig god campingtur. *S*

Hej Fromsej og Overgaard så er jeg tilbage igen.
Er i tvivl om punkt 4. hvor jeg skal slå systemgendannelsen fra. Det link i anbefaler mig hvis jeg ikke ved hvordan jeg gør taler om at systemgendannelsen skal slås fra hvis man bruger Windows ME eller EX, men min er jo Windows 2000...skal den alligevel slås fra?
Dernæst er min Windows 2000 jo engelsk så jeg er ikke helt sikker på hvor jeg gør det.
Når jeg højreklikker på My Computer og vælger Properties får jeg følgende faneblade: General, Network Identification, Hardware, User Profiles og Advanced. Under Advanced får jeg tre valgmuligheder: Performance Options, Enviroment Varaibles og Startup and Recovery, men kan ikke finder noget der omhandler Restore. Kan i guide mig?

*S* Der er ikke systemgendannelse i Win2K så glem det med at slå det fra. Undskyld det skulle ikke lige have være med.

kan ikke afslutte d3ar.exe i taskmangager. Får følgende besked: The operation could not be completed - access denied.
De andre du nævner kan jeg godt afslutte

Prøv at gøre det hele fra fejlsikret tilstand, det skal væk det der. For at komme i fejlsikret tilstand, så kan du taste f8 under genstart, og så vælge fejlsikret tilstand.

Hej Fromsej & Overgaard..fulgte jeres anvisninger og nu ser det langt om længe ud til at ha' båret frugt. Jeg kom dog ved et uheld, mod jerers anvisninger til at genstarte endnu en gang før jeg fik sendt jer den nye HiJackThis log. Heldigvis ser det dog stadig ud til at den er ren, men for en sikkerheds skyld får i lige logfilen her:

Logfile of HijackThis v1.97.7
Scan saved at 09:07:08, on 21-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\HPHipm11.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\HELVED~1\LOCALS~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Så vidt jeg kan se er den ren nu og jeg vil derfor meget gerne dele de 200 point mellem jer, men hvordan gør jeg rent praktisk det. I har begge gjort et mesterligt stykke arbejde, og samtidig har jeg lært en masse nyt som jeg helt sikkert får brug for senere.
Stor respekt til jer for, at i gider og kan få tid til at hjælpe alle os der ikke har det store overblik.

Med jublende virus og spyware fri hilsner
Werner

Lige en lidt mystisk ting...pludesleig kommer følgende meddelelse når jeg tømmer papirkurven:
Do you want to delete these two items?
og når jeg så svarer ja kommer følgende:
Cannot remove Werner: The directory is not empty.

Der er altså noget i papirkurven med mit navn, men det er i så fald ganske usynligt samtidg siger den at den indeholder 0 filer af o byte?
Nogle gange siger den også at paprikurven for F: drevet er Corrupt?

Hej heyckendorff. Jeg ligger da bare et svar, så kan du markere både fromsej og mit navn så får du lov til at dele point.

Det var dejligt at se, at din log ser så pæn ud nu *S*

Der er nu lige et par stykker du lige bør fixe. Ikke at det er snavs, men tomme linjer som skal væk. Fix disse:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Prøv lige at fortælle os præcist hvad de filer hedder som der påståes ligger i din papirkurv. Prøv også lige at køre en enkelt tur mere med den scanner fra Kaspersky. Og så for en sikkerheds skyld skal vi se en sidste log fra dig. Du får efter sidste log nogle gode råd om prg. du bør installere for at holde maskinen ren.

Hmm, det lyder underligt, men jeg har nu også kun papirkurven på et ud af 5 drev, jeg kan ikke se nogen grund til at spilde plads på de andre drev.
Højreklik på papirkurv, vælg Egenskaber, vælg fanebladet Globalt, vælg definer drev uafhængigt, sæt så størrelsen af papirkurv til 0% på alle drev undtaget det du har Windows på, her er det C:, ydermere har jeg flueben i "...slettes med det samme".
Prøv lige det, genstart og sæt så værdierne tilbage, det kan være det løser problemet med den korrupte papirkurv.

Mystiske ting sker.
Hver gang jeg forsøger at sætte options for papirkurv på 0 Mb, og "slettes med det samme" på drev D,E og F og siger appley ser alt ok ud men når jeg genstarter står den igen på 10Mb for alle drev og fluebenet i "slettes med det samme" er væk.
Ydermere er symbolet for papirkurven at der er noget i den, men når jeg åbner den eer den tom og der står: There are no items in the re-cycle Bin. Men når jeg vælger "empty re-cycle bin" skriver den om jeg vil sltte disse to items, og sidenhen at jeg ikke kal slette folder Werner fordi The Directory is not empty. Men jeg kan ikke se nogle filer i papirkurven og derfor heller ikke nærmere beskrive hvad de hedder.
Dog har AVG Antivirus to gange hvor jeg forsøgte at tømme papirkurven kommet med en meddelelse om en virus C:\WINNT\system32\fds.exe. Jeg fandt filen og slettede den, men så snart jeg bara markerede den reagerede AVG.
Kaspersky virusscaneren bliver ved med at komme med følgende:

File C:\WINNT\system32\cvvcsr.exe.mwt.mwt.mwt infected by "Backdoor.SdBot.mw" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\fdfsr.exe.mwt.mwt.mwt infected by "Backdoor.SdBot.mw" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\cvcse.exe.mwt.mwt.mwt infected by "Backdoor.SdBot.mw" Virus. Action Taken: File Renamed.
File C:\WINNT\system32\4jnbojndr.pat.mwt.mwt.mwt.mwt infected by "Backdoor.SdBot.pb" Virus. Action Taken: File Renamed.

Sidste er min WinRar Self-Extracting Archive lige kommet med følgende i en dialogbox uden nogen handling fra min side:

Extracting cbfks.exe
CRC. Failed in cbfks.exe
The file "???" header is corrupt.

Derefter stopper installationsprocessen og jeg kan cancle handlingen

HiJack Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:42:38, on 21-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\HPHipm11.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\WINNT\system32\syscdd2.exe
C:\WINNT\SYSTEM32\devot.exe
C:\WINNT\SYSTEM32\devot.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\HELVED~1\LOCALS~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Hej igen

Du må undskylde at vi har været lidt sløve i betrækket, men vi er midt i vores hårdt tiltrængte ferie. Takker for point ;)

http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SDBOT.OP
Her skal du lige gå ud og kigge, for den worm ligger nemlig på din maskine. Det er denne her: C:\WINNT\system32\syscdd2.exe

Følg anvisningen på linket. Bagefter skal du gå i fejlsikret tilstand og finde og slette denne fil:
C:\WINNT\system32\syscdd2.exe => syscdd2.exe der skal slettes
Denne her skal også finde og slettes fra fejlsikret tilstand:
C:\WINNT\SYSTEM32\devot.exe => devot.exe der skal slettes

Vi skal se en ny log fra dig, og du må også hellere køre den scanning med Kaspersky igen mens du er i fejlsikret tilstand.

Her er min nye logfil:

Logfile of HijackThis v1.97.7
Scan saved at 15:49:10, on 24-07-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~2\GRISOFT\AVG6\avgserv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINNT\system32\hphmon04.exe
C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe
C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRAMMER\Webroot\Washer\wwDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Fra C\Programmer\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~2\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Lwinst Run Profiler] C:\PROGRA~1\Logitech\WINGMA~1\Lwinst.exe -d -l "C:\PROGRA~1\Logitech\WINGMA~1\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINNT\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Program Files\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Updater] "C:\Program Files\MSN Apps\Updater\01.02.0000.2693\da\msnappau.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Window Washer] C:\PROGRAMMER\Webroot\Washer\wwDisp.exe /startup
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Den der svchost.exe er det ikke en virus?

SVChost.exe er en windowsfil.
http://www.liutilities.com/products/wintaskspro/processlibrary/svchost/

De her kan du fixe, de bruger bare kræfter, og kan alle startes manuelt, hvis behovet opstår.
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/12119/CTPID.cab

Så er din log ren, du kan sætte filvisning til normal.
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Mvh:
Fromsej/Team Spywarefri.
Aovergaard/TeamSpywarefri.

Jeg slap af med HSA ved at følge denne "guide"

http://forums.majorgeeks.com/showthread.php?t=35917

Good luck!  :)