Problemer med sysfirewall.exe

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Det skal lige siges at jeg også har problemer med at komme på internettet. Dette skriver jeg fra en anden pc, da jeg ikke KAN komme på internettet. Jeg mistænker det for at være samme sted problemet ligger...

hijackthis kan ligge på en diskette ;) men de andre programmer kan betale sig at flytte via en usbdisk eller lign.

Logfile of HijackThis v1.99.0
Scan saved at 00:31:17, on 30-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\sysfirewall.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\rlhbgta.exe
C:\WINNT\gmfcm.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\fensvc32.exe
C:\WINNT\SYSTEM32\SDvqw.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\mspmspsv.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programmer\Wacom\TabUserW.exe
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe

Det var så log filen.
Håber i kan bruge den til noget...

Du mangler alt det som står i bunden!

mangler jeg:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\sysfirewall.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\rlhbgta.exe
C:\WINNT\gmfcm.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\fensvc32.exe
C:\WINNT\SYSTEM32\SDvqw.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\mspmspsv.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programmer\Wacom\TabUserW.exe
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe
???????????????????

du mangler alt det som står nedenunder i din logfil.

Jamen, hvordan kan jeg mangle det ,hvis jeg har det?
Jeg ved med sikkerhed at jeg har:
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe

og

C:\WINNT\system32\sysfirewall.exe

fordi at jeg ved at du mangler hele den nederste halvdel af den logfil! så lig den nu bare ellers kan du ikke få hjælp....

okay.. Hvad skal jeg gøre nu?

lig hele logfilen!

Logfile of HijackThis v1.99.0
Scan saved at 00:31:17, on 30-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\sysfirewall.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\rlhbgta.exe
C:\WINNT\gmfcm.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\fensvc32.exe
C:\WINNT\SYSTEM32\SDvqw.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\sincras.exe
C:\WINNT\system32\mspmspsv.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programmer\Wacom\TabUserW.exe
C:\Documents and Settings\Jakob\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NDk3MDE1NjI3&ver=2.1.0.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://stofanet.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] D:\Skov\Winamp\winampa.exe
O4 - HKLM\..\Run: [rijfwfwcih] C:\WINNT\system32\rlhbgta.exe
O4 - HKLM\..\Run: [sais] c:\programmer\180solutions\sais.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [gTtPel] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥    ãx‡5_C:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [Windows Fix] integator.exe
O4 - HKLM\..\Run: [mservices.exe] mservices.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKLM\..\Run: [Fen Startups] fensvc32.exe
O4 - HKLM\..\Run: [System Firewall] sysfirewall.exe
O4 - HKLM\..\Run: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [Band-Aid] C:\WINNT\SYSTEM32\SDvqw.exe
O4 - HKLM\..\Run: [Logitech Camera] Soundcane.exe
O4 - HKLM\..\Run: [Configuration Loader] systemry.exe
O4 - HKLM\..\Run: [scoupas] sincras.exe
O4 - HKLM\..\RunServices: [Windows Fix] integator.exe
O4 - HKLM\..\RunServices: [mservices.exe] mservices.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKLM\..\RunServices: [Fen Startups] fensvc32.exe
O4 - HKLM\..\RunServices: [System Firewall] sysfirewall.exe
O4 - HKLM\..\RunServices: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\RunServices: [Logitech Camera] Soundcane.exe
O4 - HKLM\..\RunServices: [Configuration Loader] systemry.exe
O4 - HKLM\..\RunServices: [scoupas] sincras.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Windows Fix] integator.exe
O4 - HKCU\..\Run: [Rcf Driver] rcf.exe
O4 - HKCU\..\Run: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKCU\..\Run: [Logitech Camera] Soundcane.exe
O4 - HKCU\..\Run: [scoupas] sincras.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
O4 - Global Startup: TabUserW.lnk = C:\Programmer\Wacom\TabUserW.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Degulesider Toolbar - {B41E4A63-C2FD-4452-8BCA-D16FA5081080} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmer\AutoCAD LT 2002\AcDcToday.ocx
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\AutoCAD LT 2002\InstBanr.ocx
O16 - DPF: {B2BE75F3-9197-11CF-ABF4-08000996E931} (WHIP! Control) - ftp://ftp.autodesk.com/pub/autocad/plugin/whip.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\AutoCAD LT 2002\InstFred.ocx
O16 - DPF: {D4003A01-9B2C-4E24-9CD2-8D7DB1BDE096} - http://www.dgs.dk/tool/DGSCab.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\AutoCAD LT 2002\AcPreview.ocx
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - http://www.dgs.dk/tool/msxml3.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Client Runtime Server Subsystem - Unknown - crss.exe lssas.exe (file missing)
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Firewall - Unknown - C:\WINNT\system32\sysfirewall.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

sorry, havde ikke set at der var mere...

Afinstaller Istbar og 180 solutions i Tilføj/Fjern programmer.

Flyt Hijackthis til en mappe oprettet til formålet.

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere den endnu.
http://www.spywareinfo.dk/download/mwav.exe

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet længere nede.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NDk3MDE1NjI3&ver=2.1.0.0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O4 - HKLM\..\Run: [rijfwfwcih] C:\WINNT\system32\rlhbgta.exe
O4 - HKLM\..\Run: [sais] c:\programmer\180solutions\sais.exe
O4 - HKLM\..\Run: [conscorr] C:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [gTtPel] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥    ãx‡5_C:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [Windows Fix] integator.exe
O4 - HKLM\..\Run: [mservices.exe] mservices.exe
O4 - HKLM\..\Run: [Rcf Driver] rcf.exe
O4 - HKLM\..\Run: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKLM\..\Run: [Fen Startups] fensvc32.exe
O4 - HKLM\..\Run: [System Firewall] sysfirewall.exe
O4 - HKLM\..\Run: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\Run: [Band-Aid] C:\WINNT\SYSTEM32\SDvqw.exe
O4 - HKLM\..\Run: [Logitech Camera] Soundcane.exe
O4 - HKLM\..\Run: [Configuration Loader] systemry.exe
O4 - HKLM\..\Run: [scoupas] sincras.exe
O4 - HKLM\..\RunServices: [Windows Fix] integator.exe
O4 - HKLM\..\RunServices: [mservices.exe] mservices.exe
O4 - HKLM\..\RunServices: [Rcf Driver] rcf.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKLM\..\RunServices: [Fen Startups] fensvc32.exe
O4 - HKLM\..\RunServices: [System Firewall] sysfirewall.exe
O4 - HKLM\..\RunServices: [CRSS] C:\WINNT\system32\lssas.exe
O4 - HKLM\..\RunServices: [Logitech Camera] Soundcane.exe
O4 - HKLM\..\RunServices: [Configuration Loader] systemry.exe
O4 - HKLM\..\RunServices: [scoupas] sincras.exe
O4 - HKCU\..\Run: [Windows Fix] integator.exe
O4 - HKCU\..\Run: [Rcf Driver] rcf.exe
O4 - HKCU\..\Run: [Microsoft Video Capture Controls] MSsrvs32.exe
O4 - HKCU\..\Run: [Logitech Camera] Soundcane.exe
O4 - HKCU\..\Run: [scoupas] sincras.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O23 - Service: Client Runtime Server Subsystem - Unknown - crss.exe lssas.exe (file missing)
O23 - Service: System Firewall - Unknown - C:\WINNT\system32\sysfirewall.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
c:\programmer\180solutions\
C:\Programmer\ISTsvc\
-------------------
Filer:
C:\WINNT\system32\rlhbgta.exe
C:\WINNT\conscorr.exe
C:\WINNT\gmfcm.exe
C:\WINNT\system32\lssas.exe
C:\WINNT\SYSTEM32\SDvqw.exe
C:\WINNT\system32\rlhbgta.exe
C:\WINNT\gmfcm.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\rcf.exe
C:\WINNT\system32\MSsrvs32.exe
C:\WINNT\system32\fensvc32.exe
C:\WINNT\system32\sincras.exe
Find disse med Start-Søg:
mservices.exe
sysfirewall.exe
Soundcane.exe
systemry.exe
---------------------------------------
Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.
---------------------------------------
Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/adaware.manual.htm
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.

Næste gang nogen spørger hvorfor jeg ikke er imponeret af Norton, tror jeg jeg bare jeg linker til denne tråd.

1000 tak, tjekker om det virker. Men jeg kan nok ikke opdatere Ad-aware, da jeg ikke kan komme på internettet med den pågældende pc. Noget som også først er sket efter at jeg har fået den virus, eller hvad det er. Er det nødvendigt at opdatere? Hvis, hvad skal jeg i så fald gøre?

En lille opdatering, efter at være gået i gang,
Det lykkedes mig ikke at finde:
C:\programmer\180solutions\
C:\WINNT\system32\rlhgbta.exe

og heller ikke ved at få windows til at søge kunne jeg finde:
mservices.exe
systemry.exe

Jeg kunne ikke slette:

C:\WINNT\gmfcm.exe
C:\WINNT\system32\Issas.exe

Da jeg fik meldingen "Adgang nægtet. Kildefilen kan være i brug"

Fortsætter med at følge dine anvisninger.

De skal væk, kopier dette ind i et tekstdokument og gem det som Slet.bat
del C:\WINNT\gmfcm.exe /f
del C:\WINNT\system32\Issas.exe /f
Dobbeltklik på slet.bat, så skulle de gerne forsvinde.

gfmcm forsvandt ikke, og kan stadig ikke slettes. Issas.exe forsvandt derimod.

Jeg har fulgt resten af dine anvisninger, og har forsøgt at opdatere den nye log-fil.
Men det ser ud som om at eksperten ikke kan kapere så store mængder tekst, så sender det i 2 eller 3 bidder.

Logfile of HijackThis v1.99.0
Scan saved at 12:56:25, on 31-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\gmfcm.exe
C:\Programmer\ISTsvc\istsvc.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programmer\Wacom\TabUserW.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jakob\Dokumenter\Hijackthis\hijackthis.exe
C:\Documents and Settings\Jakob\Dokumenter\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://stofanet.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥    ãx‡5_C:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
O4 - Global Startup: TabUserW.lnk = C:\Programmer\Wacom\TabUserW.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Degulesider Toolbar - {B41E4A63-C2FD-4452-8BCA-D16FA5081080} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmer\AutoCAD LT 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\AutoCAD LT 2002\InstBanr.ocx
O16 - DPF: {B2BE75F3-9197-11CF-ABF4-08000996E931} (WHIP! Control) - ftp://ftp.autodesk.com/pub/autocad/plugin/whip.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\AutoCAD LT 2002\InstFred.ocx
O16 - DPF: {D4003A01-9B2C-4E24-9CD2-8D7DB1BDE096} - http://www.dgs.dk/tool/DGSCab.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\AutoCAD LT 2002\AcPreview.ocx
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - http://www.dgs.dk/tool/msxml3.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Nå, den kunne alligevel godt være i en

Genstart i fejlsikret.
Tryk på <Ctrl><Alt><Delete>, vælg fanebladet Processer, find og afslut Istsvc.exe og gmfcm.exe, find så mappen C:\Programmer\ISTsvc\ og slet den, find også C:\WINNT\gmfcm.exe og slet den, kører de ikke i processer burde du kunne slette dem umiddelbart.
Genstart normalt, kør Hijackthis og fix:
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [¢ª¸ï0/4»}¥    ãx‡5_C:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKLM\..\Run: [IST Service] C:\Programmer\ISTsvc\istsvc.exe

Genstart og kom med en ny log, hjælper det ikke skal de nok tages ved at boote fra din XP CD, vælge Repair, vælge Konsolmode/Kommandoprompt, og så slette dem i "DOS".

Logfile of HijackThis v1.99.0
Scan saved at 13:35:06, on 31-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\Tablet.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINNT\system32\ctfmon.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
C:\Programmer\Wacom\TabUserW.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jakob\Dokumenter\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://stofanet.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {D4003A01-9B2C-4e24-9CD2-8D7DB1BDE096} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PLANET WL-U356 Utility.lnk = C:\Programmer\PLANET\PLANET WL-U356\PLANET_WL_U356.exe
O4 - Global Startup: TabUserW.lnk = C:\Programmer\Wacom\TabUserW.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Degulesider Toolbar - {B41E4A63-C2FD-4452-8BCA-D16FA5081080} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/dk/win/QuickTimeFullInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmer\AutoCAD LT 2002\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmer\AutoCAD LT 2002\InstBanr.ocx
O16 - DPF: {B2BE75F3-9197-11CF-ABF4-08000996E931} (WHIP! Control) - ftp://ftp.autodesk.com/pub/autocad/plugin/whip.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programmer\AutoCAD LT 2002\InstFred.ocx
O16 - DPF: {D4003A01-9B2C-4E24-9CD2-8D7DB1BDE096} - http://www.dgs.dk/tool/DGSCab.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmer\AutoCAD LT 2002\AcPreview.ocx
O16 - DPF: {F5078F32-C551-11D3-89B9-0000F81FE221} (XML DOM Document 3.0) - http://www.dgs.dk/tool/msxml3.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
Skal fixes, genstart og lav en ny log, kig im den stadig er der, er den væk er din log ren.

Den er der stadig...

så er du nødt til at boote på din XP CD, vælge Repair, vælge konsolmode/kommandoprompt, når prompten er fremme skriver du CD\ og trykker <Enter>
Skriv så CD Programmer <Enter>
RD ISTsvc /s <Enter>
Så skulle den gerne forsvinde, genstart almindeligt, kør Hijackthis og fix linien hvis den stadig er til stede.

problemet er bare at jeg kører 2000... og har svært ved at få fat i cd'en... Det er godtnok en lovlig version jeg har købt og betalt, men er der ingen anden udvej?

Er mappen ISTsvc og filen gmfcm.exe stadig på din PC?
Du kan hente og brænde en Dappix CD, det er en Linux der kører fra CD-Rom, med den kan du tage fuld kontrol over din harddisk så den mappe og den fil kan blive slettet.
Jeg har intet begreb om Linux, så der skal en Linuxhaj ind og hjælpe her.
http://tyge.sslug.dk/knoppix/

http://www.eksperten.dk/spm/576252
Jeg har lagt opgaven over til hajerne.

Er din Harddisk Fat32 eller NTFS formateret?
Det ser du ved at åbne Denne Computer, højreklikke på din harddisk, vælge egenskaber.
Det står ved Filsystem i fanebladet generelt.

NTFS
Og desuden er de tilsyneladende forsvundet... Jeg kan ihvertfald ikke finde dem under deres tidligere placering,
C:\WINNT\gmfcm.exe
C:\programmer\ISTsvc\

OK, så er det bare den linie der skal væk.
O4 - HKLM\..\Run: [¢ª¸ï0ÓÈÜÅè]wø*0@ýžáC:\Programmer\ISTsvc\istsvc.exe] C:\WINNT\gmfcm.exe
Prøv at fixe den igen, hjælper det ikke skal du manuelt fjerne den med Regedit.
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441