trj/downloader.gk

Prøv lige at hente, og køre denne scanner. Sæt flueben ved alle options, og scan/clean.
http://www.mwti.net/antivirus/free_utilities.asp

Hiv stikket til din interenetforbindelse ud inden du scanner ;-)

Når du har prøvet mwav.exe, så lad os se, hvad en HijackThis-log viser.

Hent Spybot og HijackThis:
http://www.spywarefri.dk/vaerktoj.htm

Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer og genstart.

Derefter kører du Hijackthis > Scan > Save log. Kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, vi skal nok hjælpe med at tyde loggen.

Resist>> Godt at være på forkant, men Hijackthis kan vel vente, til vi ser om e-scan løser problemet

forevernewbie >>> HijackThis kan godt vente, men med en log, får vi også noget at vide om styresystem m.m.

Det er selvfølgelig rigtigt :-)

mwav.exe hentet og kørt...men hvad sker der? Lader til den kører et eller andet, men jeg får ikke noget program(interface) at se..laver den et output et sted? i så fald kan jeg ikke finde det?

jeg har spybot installeret - kender ikke hijackThis ... men jeg skal jo ha fjernet download.gk...? og ikke kun spyware den måtte have installeret..?

Den er ikke et "rigtigt" program, den kører på midlertidige filer. Du skulle kunne få den til at lave en log, så du kan se hvad den har gjort. Den log behøver du ikke at lægge herind. Hvis du er i tvivl, så følg resists anvisning

Lagde du den på skrivebordet, dobbeltklikkede den, aktiverede alle "scan options" og klikkede "scan clean" ?

mwav.log:

Sun Sep 05 16:59:06 2004 => **********************************************************
Sun Sep 05 16:59:06 2004 => eScan AntiVirus Toolkit Utility.
Sun Sep 05 16:59:06 2004 => Copyright © 2003-2004,  MicroWorld Technologies Inc.
Sun Sep 05 16:59:06 2004 => **********************************************************
Sun Sep 05 16:59:06 2004 => Version 4.1.9
Sun Sep 05 16:59:06 2004 => Log File: C:\DOCUME~1\Line\LOKALE~1\Temp\mwav.log
Sun Sep 05 16:59:06 2004 => Latest Date of files inside MWAV: 19 Feb 2004  00:03:36.
Sun Sep 05 16:59:09 2004 => AV Library Loaded...
Sun Sep 05 16:59:09 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\kavss.exe
Sun Sep 05 16:59:09 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\Getvlist.exe
Sun Sep 05 16:59:09 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\kavss.dll
Sun Sep 05 16:59:09 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\kavssdi.dll
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\kavssi.dll
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\kavvlg.dll
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\msvlclnt.dll
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\ipc.dll
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\main.avi
Sun Sep 05 16:59:10 2004 => Scanning File C:\DOCUME~1\Line\LOKALE~1\Temp\virus.avi
Sun Sep 05 16:59:11 2004 => Virus Database Date: 2004/02/19
Sun Sep 05 16:59:11 2004 => Virus Database Count: 84965

var det den du mente?

Den plejer at være meeeget lang, aktiverede du det hele i opsætningen?

Der er da også noget galt, databasen er alt for gammel. Tøm dine "temporary Internet files", og lad resist se en HijackThis log

ok :-) midlertidige internetfiler slettet. jeg har hijackThis.exe liggende på skrivebordet, når jeg dobbeltklikker sker tilsyneladende ingenting..? Jeg var ved at læse om brugen af det på spywarefri, men børn og aftensmad hiver også i den anden ende, så det tager sin tid.

Jeg hentede også lige e-scan, og de har åbenbart nogle problemer i øjeblikket. Du lægger bare loggen ind når du er klar :-) Downloaderen kan have ligget i dine temp files, men det må tjekkes. HijackThis burde åbne ved dobbeltklik, prøv at hente en ny
http://www.spywareinfo.com/downloads/tools/HijackThis.exe


http://danborg.org/spy/HJT/hijackthis.exe

nu lykkedes det

Logfile of HijackThis v1.98.2
Scan saved at 17:54:42, on 05-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Panda Software\Panda Antivirus 6.0\Pavsrv51.exe
C:\Programmer\Panda Software\Panda Antivirus 6.0\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\videosd32.exe
C:\WINDOWS\System32\windbg.exe
C:\WINDOWS\System32\ndis.exe
C:\WINDOWS\System32\scvhosting.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\lshost.exe
C:\WINDOWS\System32\ssms.exe
C:\Program Files\Winad Client\Winad.exe
C:\Programmer\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\wssvr.exe
C:\WINDOWS\System32\logon.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\mswinc.exe
C:\WINDOWS\System32\SPOOLSVD32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programmer\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Web_Rebates\WebRebates1.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\winitr32.exe
C:\Documents and Settings\Line\Lokale indstillinger\Temporary Internet Files\Content.IE5\6KVTVY2H\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Antivirus 6.0\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ScanInicio] "C:\Programmer\Panda Software\Panda Antivirus 6.0\Inicio.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmer\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Generic Host Service] lshost.exe
O4 - HKLM\..\Run: [Micr Update] soundblaster.exe
O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\Run: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programmer\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Windows Debugger] windbg.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvr.exe
O4 - HKLM\..\Run: [logon run] logon.exe
O4 - HKLM\..\Run: [NDIS Adapter] ndis.exe
O4 - HKLM\..\Run: [starter] scvhosting.exe
O4 - HKLM\..\Run: [Remote Procedure Calls] mswinc.exe
O4 - HKLM\..\Run: [Spool Server Daemon] SPOOLSVD32.EXE
O4 - HKLM\..\Run: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunServices: [PandaScheduler] "C:\Programmer\Panda Software\Panda Antivirus 6.0\Pavsched.exe"
O4 - HKLM\..\RunServices: [Generic Host Service] lshost.exe
O4 - HKLM\..\RunServices: [Micr Update] soundblaster.exe
O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\RunServices: [Microsoft Server Assistant] ssms.exe
O4 - HKLM\..\RunServices: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvr.exe
O4 - HKLM\..\RunServices: [logon run] logon.exe
O4 - HKLM\..\RunServices: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [Remote Procedure Calls] mswinc.exe
O4 - HKLM\..\RunServices: [Spool Server Daemon] SPOOLSVD32.EXE
O4 - HKLM\..\RunServices: [Win32 Wmls Driver] winitr32.exe
O4 - HKLM\..\RunOnce: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKLM\..\RunOnce: [starter] scvhosting.exe
O4 - HKLM\..\RunOnce: [Win32 Wmls Driver] winitr32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\Run: [Skype] "D:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Debugger] windbg.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [Microsoft Update] wssvr.exe
O4 - HKCU\..\Run: [logon run] logon.exe
O4 - HKCU\..\Run: [NDIS Adapter] ndis.exe
O4 - HKCU\..\Run: [starter] scvhosting.exe
O4 - HKCU\..\Run: [Remote Procedure Calls] mswinc.exe
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinc.exe
O4 - HKCU\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKCU\..\RunOnce: [NDIS Adapter] ndis.exe
O4 - HKCU\..\RunOnce: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\RunOnce: [starter] scvhosting.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Programmer\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O8 - Extra context menu item: Web Rebates - file://C:\Programmer\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=01211ab34b55aa206b0f91d52529ebc908d547dade21dd764c49772efabbd29c9def62eaf7b20f9e55582f42177dfeafae57582401c4c3f6827fa2a69ceef080:1c1ecd715aa66140f98a0e00749aa665
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/185dc8a25c8153155718/netzip/RdxIE601.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll

Tjaeh, der er jo lidt af hvert, incl. downloaderen. Jeg gætter på at resist tjekker loggen

Slå systemgendannelse fra: http://www.spywarefri.dk/virusscannere.htm#alle

Tag en scanning med begge disse onlinescannere:

Housecall: http://housecall.trendmicro.com/
BitDefender: http://www.bitdefender.com/scan/license.php

Du mangler at få opdateret Windows og IE med Service Pack 1 m.m. Besøg Windows Update: http://v4.windowsupdate.microsoft.com/da/default.asp

Genstart og kom med en ny log fra HijackThis - tak.

Du skal også lukke for DCom: http://www.spywarefri.dk/tipsogtricks.htm#DCom

efter flere dages ærgelser - og fravær fra eksperten pga forkøelse - orker jeg ikke mere. Maskinen opfører sig tiltagende underligt, og jeg får ikke mange chancer til at manøvrere.. jeg tror jeg kapitulerer og formaterer hele møjet og starter forfra... tak for hjælpen, post et svar begge 2 så I kan få nogen point :-)

Svar ;-)
Kan du ikke få lov til at onlinescanne med Housecall og Bitdefender?
Du siger lige til, hvis du hellere vil have mig til at tjekke loggen.

Tjaeh, det var jo godt nok ærgeligt, men du får så ihvertfald en helt ren maskine ;-)

Jeg ville så mene, at hvis der blev "tyndet ud" i loggen, kunne du måske få lov til at onlinescanne, og opdatere. Så kunne formatering måske undgåes. Men det er jo selvfølgelig op til dig selv :-)

linebille >>>> Du siger bare til, hvis vi skal prøve at rense manuelt ;-)