please select your country virus/spyware

Jeg kigger lige p[ den

Kør HijackThis, scan og sæt et flueben ud for denne linie - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bknzs.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6BFB10C2-E906-0C6D-43FE-065E2DCDBD1B} - C:\WINDOWS\system32\atlmi.dll
O4 - HKLM\..\Run: [appyo32.exe] C:\WINDOWS\system32\appyo32.exe
O4 - HKLM\..\Run: [F.tmp] C:\DOCUME~1\Nicolai\LOKALE~1\Temp\F.tmp.exe 1 10001
O4 - Startup: winupdate96797861[1].exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_premium.pl?1&4&04.00.09.13&premium&unknown&http://www.fujitsu-siemens.com/rl/products/3d/amilo_m/amilo_m_7400.html?noreloadredir

Download og gem denne scanner på skrivebordet.(Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.


Slå systemgendannelse fra
Genstart i Fejlsikret tilstand (uden netværk) ved at taste F8 under opstart.

Find og slet:

C:\WINDOWS\system32\appyo32.exe
C:\WINDOWS\appix.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmpB.tmp
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmpC.tmp
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmpF.tmp


Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\system32\atlmi.dll



Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..


Scan med hijackthis og se om der er noget af det du fiksede før som er vendt tilbage .. hvis ja fiks det igen.

Genstart i normal tilstand og kopir en ny log herind.

Tja det var jo kun noget af det....

Hent og opdater CWShredder:  http://danborg.org/spy/CWS/cwshredder.exe

Hent dette clear reg prg. som er en free for 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Alt hvad kalp har sagt, der skal fixes, skal fixes i fejlsikret tilstand.

Denne skal også væk i fejlsikret tilstand:
C:\WINDOWS\system32\bknzs.dll>>>filen  bknzs.dll

Når du har fixet og fjernet filer, skal du gøre følgende:
Kør programmet CWS
Angående CWShredder:

Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du finder måske slet ikke noget med homeoldsp og about blank, men søg lige efter det alligevel.


Det er træls, når man kun hjælper halvt.....

indtil videre tusinde tak, jeg går igang med det samme.

du skriver flueben ud for denne linie? kun én linie? du lister en hel del?

Det er alle linier det drejer sig om.

Inklusive disse, som også er glemt:
O4 - HKCU\..\Run: [ChkMail] °<9
O4 - Startup: winupdate96797861[1].exe

lidt forvirret nu. Sorry! Skal jeg gennemgå Kalps anvisninger (og i fejlsikret tilstand allerede fra starten)og herefter Andersensph elelr skal det helle udføres parallelt?

dvs. fejlsikret tilstand fra start, inden jeg foretager mig noget som helst?

andersenph har ikke glemt nogen af dem... tjek selv efter

O4 - Startup: winupdate96797861[1].exe

den anden ville jeg vente med til sidst for er slet ikke sikker før som er vendt tilbage .. hvis ja fiks det igen på det er snavs.

niwikr:

Du starter bare i normal tilstand med at sætte hak ud for "ALLE" de linjer jeg har listet og ellers følge guiden skridt for skridt der står præcist hvad du skal gøre og hvornår du skal genstarte:)

OK jeg går igang. og vender tilbage med en ny hijack log snarest

Jeg er ked af at vi skal til at diskutere her....

Alt skal fixes i fejlsikret. Eller kommer du ikke af med det.

Hele kuren skal udføres i fejlsikret tilstand-......

andersenph>> Kommer måske ikke af med det i første om gang, men over 90% af det.. så er det heldigt der kommer en ny log hvor man kan tage det sidste med

Det er det jeg godt kunne tænke mig at du lærte at undgå. Det er spild af tid, når man kan komme af med det hele på 1 gang.

Prøv nu at lægge mærke til hvordan "vi andre" fixes den infektion der, inden du hopper på den.

Det er typisk for de spørgsmål du deltager i, at der ligger "mange" indlæg i dem, som kunne have været sparet, hvis man tog det hele med første gang....

Fint, men find lige et spørgsmål.. nej to hvor i andre fikser denne linje

O4 - HKCU\..\Run: [ChkMail] °<9

så skal jeg nok rette mig efter det og spare for lange spørgsmål

hvor slår jeg systemgendannelse fra?

Højreklik på "Denne Computer" vælge Egenskaber og find fanen SystemGendannelse.. Sæt hak i deaktiver systemgendannelse

Systemgendannelsen skal ikke slås fra. Det gør vi til sidst ellers har du ingen gendannelsespunkter at komme tilbage til, hvis noget går galt.....

er der nogen måde jeg se på, om jeg har genstartet i fejlsikret tilstand? har genstartet med f8 , emn har ikke fået nogen beskeder om at tilstanden er fejlsikret.

Så er det sikkert fordi du trykker F8 for sendt eller for tidligt ved genstart...
Du skal nemlig selv vælge det i en "menu". Prøv lige efter du har genstartet at trykke F8 med korte mellemrum så burde du i hvertfald ramme rigtigt.

Hvis det slet ikke virker kan det være du skal trykke på F5 istedet

Når du endelig er i fejlsikret tilstand skal du ikke lade dig skræmme af store icon'er og lav skærmopløsning:)

Så er du ikke i fejlsikret tilstand.

Prøv igen. Tryk F8 lige når _Windows_ starter op

jeps, det er lykkedes nu, sorry!

http://www.informationsarchiv.net/foren/beitrag-11243.html

Skal du have flere kalp?

Hvis ham Tyskeren er en del af >I andre< er det okay nok

:O)

er igang med at scanne med eScan

kunne dog ikke finde følgende fil:

C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmpB.tmp

der hvar dog masser af andre tmp f.eks. tmpA.tmp osv. Dem har jeg IKKE slettet

flere af ovenstående file kunne jeg også først finde efter at jeg havde gjort systemfiler synlige

skal jeg slå systemgendannelse til når jeg starter i normal tilstand?

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

burde slette alt i mappen Temp.. ellers kan du markere alle filer.. i fejlsikret tilstand.. og slette dem.

nu du har deaktiveret systemgendannelse venter vi til vi er færdige med at genaktivere den:)

scannere stadig

Nu har jeg scannet. skal jeg slette det den har fudnet manuelt, eller gør programmet det nå jeg trykker OK?

den har fundet 18 virus

i virus log information, slutter alt den har fundet med "no action taken"

eksempel på virus log information

File C:\WINDOWS\System32\adimage.dll tagged as not-a-virus:AdWare.Aurate. No Action Taken.

nogel hedder også noget med porn-dialer osv.

Spørgsmålet er om disse filer slettes, når jeg trykker OK, eller om jeg skal slette dem manuelt. (Eller om det overhovedet skal slettes?)

Find dem manuelt og slet dem. Alternativt skal du køre Ad-aware og spysweeper.

Så er jeg igennem alt det kalp har skrevet. HAr endnu ikke gjort noget af det andersenph har foreslået.

Tusinde tak for hjælpen til begge indtil videre. Men succesen har dog indtil videre ikke været overvældende, de samme problemer med popups osv er der stadig.

her er den nye hijack log:

Logfile of HijackThis v1.99.0
Scan saved at 16:34:59, on 19-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Documents and Settings\Nicolai\Menuen Start\Programmer\Start\winupdate96797861[1].exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: winupdate96797861[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\appix.exe (file missing)

Tjaa

Start op i fejlsikret og fix disse:
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe
O4 - Startup: winupdate96797861[1].exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\appix.exe (file missing)

Find og slet:
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\appix.exe


Genstart almindeligt.

Download DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf

Højreklik på DelDomains.inf og vælg: Install
Dette vil fjerne alle entries I trusted og restricted zone

Mere info http://www.mvps.org/winhelp2002/restricted.htm

Genstart og surf lidt rundt. Genstart og surf lidt rundt. /(nej jeg gentager ikke mig selv)

Kom  så med en ny log til kontrol....

jeg kan ikke få lov at slette

C:\WINDOWS\System32\mszx23.exe

er i brug af et andet program, som først skal lukkes. Har dog ingen åbne, så der må være en eller anden proces igang som ikek burde køre.

Har gjort det. (og fået lov at slette efter en genstart (også fejlsikret selvfølgelig))

C:\WINDOWS\appix.exe  ikke slettet da jeg kunne finde den på nævnte sti.

problemet ikke løst, stadig popups og explorerer skifter stadig til frække sider lige pludselig.
Det med startsiden ser dog ud til at være iorden,

DellDomains.inf : lagt på skriveborder, højreklik installer valgt (ikke install), intet sker, ved ikke det er meningen?

det ser ud som om at flere af dem jeg fixede med hijack, blot kommer tilbage

her er loggen:

Logfile of HijackThis v1.99.0
Scan saved at 18:03:48, on 19-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp6.tmp
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp15.tmp
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp16.tmp
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 5 for hijackthis.zip\HijackThis.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp1B.tmp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: winupdate96797861[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Jeg hader at være bagklog, men hvis nu du havde hørt lidt efter....
;O)

Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.
Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.


Hent CWShredder her:
http://www.computercops.biz/zx/phoenix22/cws.zip

Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Genstart og husk at få dine sikkerhedsprogrammer op at køre igen.

Disse mangler stadig at blive fixet og slettet i fejlsikret.

O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: winupdate96797861[1].exe
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL

Find også:
C:\WINDOWS\System32\DSMANA~1.DLL

Se om du kan få dem væk nu.

Ellers må det vente til i aften over 8. Før er jeg ikke tilbage...



Har du kørt de programmer JEG bad dig om

fint nok, du har ret til at være bagklog. Jeg er bare taknemlig over nogen gider at hjælpe. I starten fulgte jeg blot kalps anvisninger. Ikke fordi jeg havde mere tillid til ham end dig, blot fordi jeg ikke kunne gennemsue hvem er jer der havde mest ret, og derfor valgte jeg at følge instruktionerne fra en jer.

Jeg skal nu gøre mit bedste for at gøre det du skriver i ovenstående indlæg nøjagtigt.

JEg tager også hjem nu, så der er nok ikke noget resultet før i aften eller imorgen.

Indtil tusinde tak for hjælpen

Jamen så vil jeg godt takke for din pæne måde at tackle dette på. Jeg er sikker på at vi nok skal få dig igennem dette.

Vi ses når vi ses :O)

Nu er jeg kommer hjem og kan se den "nye" log fra 19/01-2005 16:38:53
synes da er lettere at arbejde videre fra den:)

men angående det med at spare tid så tror jeg ikke på denne log kunne være ren efter en enkelt omgang

Hej igen

Jeg har nu alle programmer osv, som er nævnt til download i denne tråd, og har også kørt dem alle, og problemet er desværre stadig til stede.

JEg er efterhånden lidt forvirret og derfor i tvivl om jeg udfører trinene i den rigtige rækkefølge, og i den rigtige tilstand (fejlsikret) og med/uden netværks kabel i.

Situationen har indtil videre været at popupvinduerne kommer frem så snart jeg sætter netværkskablet i. Måske det hele skulle laves uden netværkskabel i?? (eller kræver nogle af programmerne at man er online når man kører dem?) Jeg har en anden PC som jeg kan kommunikere med på eksperten i mellemtiden, problemet er dog når jeg skal køre en nhijack log og poste den, er det jo nødvendigt at gøre det på den inficerede maskine.

lige lidt sidste info inden i får den aktuelle hijack log

i hvert tilfæde disse to:

O4 - Startup: winupdate96797861[1].exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!

fixer jeg hver gang, og alligevel vender de tilbage.

seneste hijack log:

Logfile of HijackThis v1.99.0
Scan saved at 10:17:36, on 20-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp2C.tmp
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 9 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: winupdate96797861[1].exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Tjaa jeg må jo nok indrømme at vi er oppe mod en ny fætter.

Prøv at uploade disse filer en af gangen hos Jotti:
http://fromsej.dk/Vejledninger/billman/jotti.html

C:\WINDOWS\System32\mszx23.exe
winupdate96797861[1].exe
C:\DOCUME~1\Nicolai\LOKALE~1\Temp\tmp2C.tmp

Fortæl os, hvad du får af tilbagemelding på det.

OK, men dit link er til vejledningen, hvor finder jeg selve stedet hvor jeg kan uploade?

Når du har uploadet dem, så prøv en gang mere at starte i fejlsikret tilstand og slet dem alle tre på een gang.

Selvom det nok ikke nytter. Men jeg vil gerne bekræftes i at tempfilen bare skifter navn.

Vi har forresten et tilfælde mere af denne type, som vi også kæmper med her på Eksperten.

øjeblik

http://virusscan.jotti.dhs.org/

Her er den

HEr er i første omgang hvad jeg fik på:


C:\WINDOWS\System32\mszx23.exe


Service load:     
0%                 100%
File:     mszx23.exe
Status:    
POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected:    
FSG

AntiVir    
No viruses found (0.17 seconds taken)
Avast    
No viruses found (1.51 seconds taken)
BitDefender    
No viruses found (0.48 seconds taken)
ClamAV    
No viruses found (0.41 seconds taken)
Dr.Web    
No viruses found (0.54 seconds taken)
F-Prot Antivirus    
No viruses found (0.31 seconds taken)
Kaspersky Anti-Virus    
No viruses found (0.70 seconds taken)
mks_vir    
Win32 (probable variant) (0.21 seconds taken)
NOD32    
probably unknown NewHeur_PE (probable variant) (0.52 seconds taken)
Norman Virus Control    
No viruses found (1.87 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.StartPage.ix in dodkda.dll, detected by:

Scanner     Malware name     Time taken
AntiVir     TR/StartPage.ix     0.50 seconds
Avast     Win32:Startpage-006     1.81 seconds
BitDefender     X     0.65 seconds
ClamAV     Trojan.Startpage-134     0.33 seconds
Dr.Web     Trojan.Mpin     0.52 seconds
F-Prot Antivirus     X     0.11 seconds
Kaspersky Anti-Virus     Trojan.Win32.StartPage.ix     0.63 seconds
mks_vir     X     0.22 seconds
NOD32     X     0.37 seconds
Norman Virus Control     X     0.13 seconds


Service statistics:

2534 files (2040 of those unique) have been uploaded & scanned since 17/01/2005, the day of the last database purge.
564 of those 2040 files contained a virus or any other form of malware.
This page has been visited 4488 times in this time period.
This service managed to spot 43 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 311 suspicious files without any help from scanner results.
However, 3 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.85% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank     Malware name     Uploaded     Last known filename
1     trojan.spy.agent.y     23 times     ArchAngel_s_Supreme_Bot._By_Archangel__RUNECMS.exe
2     win32.hllw.mybot.based     21 times     rxBot.exe
3     worm/robobot     17 times     install.exe
4     worm/wurmark.d.2.1     11 times     3.exe
5     win32:trojan-gen. {other}     11 times     VSStatmn32.exe
6     win32.hllw.tibic     10 times     Macromedia_Flash_MX_v6.0_Crack_.exe
7     win32.hllw.forbot.based     9 times     ntscan.exe
8     backdoor.win32.rbot.gen     9 times     rBot.exe
9     trojan.unremote.a     8 times     Aimbot.rar
10     tr/ciadoor.13.a     8 times     _stub2.stb
11     trojan.downloader.stubby.c     7 times     farmmext.exe
12     behaveslike:trojan.downloader     7 times     msxmidi.exe
13     worm/zusha.a     7 times     enc.exe
14     backdoor.prorat.18     7 times     13.exe
15     tr/psw.ldpinch.jm1     6 times     Rechnung0545-2199.pdf.exe

og for:

winupdate96797861[1].exe

Service load:     
0%                 100%
File:     winupdate96797861[1].exe
Status:    
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected:    
UPX

AntiVir    
No viruses found (0.14 seconds taken)
Avast    
No viruses found (1.51 seconds taken)
BitDefender    
No viruses found (0.48 seconds taken)
ClamAV    
No viruses found (0.34 seconds taken)
Dr.Web    
No viruses found (0.53 seconds taken)
F-Prot Antivirus    
No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus    
No viruses found (0.65 seconds taken)
mks_vir    
No viruses found (0.22 seconds taken)
NOD32    
No viruses found (0.42 seconds taken)
Norman Virus Control    
No viruses found (5.85 seconds taken)

Statistics
Last piece of malware found was W32/Puce.B in CALC.ex_, detected by:

Scanner     Malware name     Time taken
AntiVir     W32/Puce     0.15 seconds
Avast     X     1.51 seconds
BitDefender     X     0.45 seconds
ClamAV     X     0.46 seconds
Dr.Web     Win32.HLLP.Puce     0.53 seconds
F-Prot Antivirus     X     0.09 seconds
Kaspersky Anti-Virus     Virus.Win32.Muce.b     0.64 seconds
mks_vir     X     0.22 seconds
NOD32     X     0.40 seconds
Norman Virus Control     W32/Puce.B     0.13 seconds


Service statistics:

2536 files (2042 of those unique) have been uploaded & scanned since 17/01/2005, the day of the last database purge.
565 of those 2042 files contained a virus or any other form of malware.
This page has been visited 4494 times in this time period.
This service managed to spot 44 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 311 suspicious files without any help from scanner results.
However, 3 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.85% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank     Malware name     Uploaded     Last known filename
1     trojan.spy.agent.y     23 times     ArchAngel_s_Supreme_Bot._By_Archangel__RUNECMS.exe
2     win32.hllw.mybot.based     21 times     rxBot.exe
3     worm/robobot     17 times     install.exe
4     worm/wurmark.d.2.1     11 times     3.exe
5     win32:trojan-gen. {other}     11 times     VSStatmn32.exe
6     win32.hllw.tibic     10 times     Macromedia_Flash_MX_v6.0_Crack_.exe
7     win32.hllw.forbot.based     9 times     ntscan.exe
8     backdoor.win32.rbot.gen     9 times     rBot.exe
9     trojan.unremote.a     8 times     Aimbot.rar
10     tr/ciadoor.13.a     8 times     _stub2.stb
11     trojan.downloader.stubby.c     7 times     farmmext.exe
12     behaveslike:trojan.downloader     7 times     msxmidi.exe
13     worm/zusha.a     7 times     enc.exe
14     backdoor.prorat.18     7 times     13.exe
15     tr/psw.ldpinch.jm1     6 times     Rechnung0545-2199.pdf.exe

og den sidste:

Service load:     
0%                 100%
File:     tmp2C.tmp
Status:    
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected:    
UPX

AntiVir    
Heuristic/Trojan.Downloader (probable variant) (0.16 seconds taken)
Avast    
No viruses found (1.51 seconds taken)
BitDefender    
No viruses found (0.40 seconds taken)
ClamAV    
No viruses found (0.36 seconds taken)
Dr.Web    
No viruses found (0.54 seconds taken)
F-Prot Antivirus    
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus    
No viruses found (0.68 seconds taken)
mks_vir    
No viruses found (0.24 seconds taken)
NOD32    
No viruses found (0.47 seconds taken)
Norman Virus Control    
No viruses found (1.14 seconds taken)

Statistics
Last piece of malware found was W32/Puce.B in CALC.ex_, detected by:

Scanner     Malware name     Time taken
AntiVir     W32/Puce     0.15 seconds
Avast     X     1.51 seconds
BitDefender     X     0.45 seconds
ClamAV     X     0.46 seconds
Dr.Web     Win32.HLLP.Puce     0.53 seconds
F-Prot Antivirus     X     0.09 seconds
Kaspersky Anti-Virus     Virus.Win32.Muce.b     0.64 seconds
mks_vir     X     0.22 seconds
NOD32     X     0.40 seconds
Norman Virus Control     W32/Puce.B     0.13 seconds


Service statistics:

2539 files (2044 of those unique) have been uploaded & scanned since 17/01/2005, the day of the last database purge.
565 of those 2044 files contained a virus or any other form of malware.
This page has been visited 4498 times in this time period.
This service managed to spot 44 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 312 suspicious files without any help from scanner results.
However, 3 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 99.85% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank     Malware name     Uploaded     Last known filename
1     trojan.spy.agent.y     23 times     ArchAngel_s_Supreme_Bot._By_Archangel__RUNECMS.exe
2     win32.hllw.mybot.based     21 times     rxBot.exe
3     worm/robobot     17 times     install.exe
4     worm/wurmark.d.2.1     11 times     3.exe
5     win32:trojan-gen. {other}     11 times     VSStatmn32.exe
6     win32.hllw.tibic     10 times     Macromedia_Flash_MX_v6.0_Crack_.exe
7     win32.hllw.forbot.based     9 times     ntscan.exe
8     backdoor.win32.rbot.gen     9 times     rBot.exe
9     trojan.unremote.a     8 times     Aimbot.rar
10     tr/ciadoor.13.a     8 times     _stub2.stb
11     trojan.downloader.stubby.c     7 times     farmmext.exe
12     behaveslike:trojan.downloader     7 times     msxmidi.exe
13     worm/zusha.a     7 times     enc.exe
14     backdoor.prorat.18     7 times     13.exe
15     tr/psw.ldpinch.jm1     6 times     Rechnung0545-2199.pdf.exe

genstarter nu i fejlsikret og forsøger at slette de 3 filer. Hvornår vil du have en hijack log, umiddelbart efter sletning, eller skal jeg genstarte i normal tilstand og sende en hijack log?

Genstart i normal tilstand og kom med en ny log, når du har prøvet at slette dem.

http://housecall.antivirus.com/
Prøv derefter, når du har lagt loggen herind, at tage et onlinscan her.

filer slettet og genstratet i normal

her er log:

Logfile of HijackThis v1.99.0
Scan saved at 11:21:50, on 20-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 10 for hijackthis.zip\HijackThis.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 11 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

mszx23.exe !!
Ligger der stadig, men vi slap af med de to andre....indtil videre i hvertfald.
Tag det onlinescan jeg viste dig før. Lad være med at genstarte....

http://www.avast.com/eng/avast_cleaner.html
prøv denne bagefter.
Vi skyder med spredhagl her, men på nuværende tidspunkt er det det eneste vi kan gøre....

scanner på housecall lige nu

har indtil vidre fundet og fjernet: TROJ-AGENT-3

det går faktisk meget godt lige nu, har ikke fået nogen generende popup osv. (Kommer dog nok hvis jeg genstrater)

Det er jeg også bange for :O)

Vi skal nok finde en dll fil, der ligger og loader snavset.

Jeg har et par programmer her, der kan finde den.

Hent og pak dette program ud på dit Skrivebord.

http://www.fbeej.dk/Programmer/FindItNT2KXP.zip

Kør "find.bat" - programmet laver en log, som du også skal lægge herind.
------------------------------------------------------------

Hent dette lille værktøj fra Option^explicit:

http://downloads.subratam.org/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.

housecall fandt

TROJ_AGENT.JR C:\\WINDOWS\mznudz.log
TROJ_AGENT.JR C:\\WINDOWS\dlcqrr.dat

jeg går ud fra jeg skal delete dem?

jeg gør lige det du har skrevet ovenfor inden jeg kører avast!

ja

De filer du fandt skal slettes ja.

loggen fra find.bat

Warning!XP This utility will find legitimate files in addition to malware. 
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Disken i drev C er ACER
Diskens serienummer er 290E-14EF

Indhold af C:\WINDOWS\System32

19-01-2005  19:08                5 AuxDrv32_g.dlx
11-01-2005  14:02            11.592 wglff.dat
04-01-2005  22:32            7.305 zzopb.dat
03-01-2005  21:14            68.096 bknzs.dll
10-12-2004  20:59            11.894 KGyGaAvL.sys
06-08-2004  10:26                32 {C1969B5A-DD2E-48A6-A1FB-3A32D6F8DB0A}.dat
23-10-2003  10:52    <DIR>          Microsoft
23-10-2003  10:32    <DIR>          dllcache
              6 fil(er)          98.924 byte
              2 mappe(r)  14.232.272.896 byte ledig

------- Hidden Files in System32 Directory -------

Disken i drev C er ACER
Diskens serienummer er 290E-14EF

Indhold af C:\WINDOWS\System32

19-01-2005  19:08                5 AuxDrv32_g.dlx
11-01-2005  14:02            11.592 wglff.dat
04-01-2005  22:32            7.305 zzopb.dat
03-01-2005  21:14            68.096 bknzs.dll
10-12-2004  20:59            11.894 KGyGaAvL.sys
06-08-2004  10:26                32 {C1969B5A-DD2E-48A6-A1FB-3A32D6F8DB0A}.dat
23-10-2003  11:08            1.024 NTICDMK32.dll
23-10-2003  10:41              488 logonui.exe.manifest
23-10-2003  10:41              488 WindowsLogon.manifest
23-10-2003  10:41              749 cdplayer.exe.manifest
23-10-2003  10:41              749 wuaucpl.cpl.manifest
23-10-2003  10:41              749 ncpa.cpl.manifest
23-10-2003  10:41              749 sapi.cpl.manifest
23-10-2003  10:41              749 nwc.cpl.manifest
23-10-2003  10:32    <DIR>          dllcache
              14 fil(er)          104.669 byte
              1 mappe(r)  14.232.256.512 byte ledig

---------- Files Named "Guard" -------------

Disken i drev C er ACER
Diskens serienummer er 290E-14EF

Indhold af C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Disken i drev C er ACER
Diskens serienummer er 290E-14EF

Indhold af C:\WINDOWS\System32

25-04-2003  12:00            2.660 CONFIG.TMP
              1 fil(er)            2.660 byte
              0 mappe(r)  14.232.223.744 byte ledig

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"=hex(2):64,72,63,74,31,36,2e,64,6c,6c,00
"Startup"="MeMessager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxsrvc.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------

Systemet kan ikke udf›re det angivne program.

-------------- Locate.com Results ---------------


Jeg har mistanke til denne dll:
bknzs.dll

Start op i fejlsikret tilstand. Søg den og slet den. Slet også vores problem exe fil:
mszx23.exe !!

ok skal jeg gøre det uden netværksstik, så plejer det ikke at starte så meget lort i hvert tilfælde

jeg har slettet de to filer og genstartet i normal. her er log:

Logfile of HijackThis v1.99.0
Scan saved at 13:14:27, on 20-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 11 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Ja gør det. Det var en god ide :O)

Damn den ligger der endnu...

Tænker....

Alternativt!! Slet den fra dos'en så dør den!

blot lidt oplysning jeg ved ikke om det betyder noget. Da jeg skulle slette de fo filer, fandt jeg for begge alternative filer med næsten samme navn

mszx23 - 2D920713.pf (noget i dne stil)  og

bknzs.dat

skal jeg prøve at slette fra DOS?  og hvilken af filerne? begge?

og hvorfor betyder det noget om det er fra DOS?

Vi prøver lige noget andet.
http://downloads.subratam.org/KillBox.zip

http://home8.inet.tele.dk/fbj/TheKillBoxBrugsanvisning.htm

Pak Killbox ud i en mappe for sig selv og følg brugsanvisningen.


Det er vigtigt, at du afbryder forbindelsen til internettet inden du sletter nedenstående filer - hiv internetstikket ud af computeren.

Her er så listen over filer der skal slettes med KillBox:

C:\WINDOWS\System32\mszx23.exe


Kør KillBox, sæt prik i "Delete on reboot". Kopier linien ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar JA, og din computer vil genstarte.

skal jeg genstarte i fejlsikret inden jeg går igang, eller bare klø på med det samme?

At man gør det i dos mode betyder at filen højest sandsynligt ikke er aktiv mere og så kan den slettes.

lidt svær brugsanvisning, screenshots/bilelderne mangler. Prøver dog alligevel

Kalp: At slette i Dos forudsætter at maskinen ikke er formateret i NTFS-formatet.

jeg har nu uden internetstik i normal tilstand- Kørt killbox

kopieret stien ind, afkrydster kill on reboot og genstratet i fejlsikret.

kørt en hijack i fejlsikret og filen er der stadig i loggen.

har jeg gjort det forkert?

niwikr: Du skal ikke gøre noget af dette før andersenph har kommenteret. I log-rensninger er det bedst at der kun er én der er log-fører...

andersenph: Kunne det måske hjælpe at gå ind i regedit og slette alle entries, der kunne finde på at beskytte filerne?

jeg får heller ikek samme interface i killbox som beskrevet i brugervejledningen. under kill files on reeboot, burde der være en grøn pil, til add files, den har jeg ikke

Prøv lige dette, når du skal slette med Killbox. Marker i "replace on reboot", og "use dummy", og "end explorer shell while killing file". Klik så på den røde cirkel med det hvide kryds, så genstarter killbox maskinen.

Der findes flere versioner af Killbox, din er så ikke den samme som i brugsanvisningen. Det betyder ikke noget, de gør det samme.

Btw, jeg er også fra Spywarefri.dk og jeg tror at det er ok for Andersenph, at jeg lige er "stand in" for ham her

Hmmm. Det lyder lidt underligt med killbox.
Vi glemmer den lidt.
Vi kan i stedet prøve det som ejvindh foreslår.

Start op i fejlsikret.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: mszx23.exe
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste
Luk på X når du får at vide der ikke er flere filer at finde.
ejvindh du er velkommen til at komme med indskpark her. Den er halvsvær :O)

Fik ikke lige opdateret. Prøv forevernewbies råd først.

*G* Hej andersenph, undskyld at jeg spammer ;)

Det gør bestemt ikke noget. Vi skal nok løfte i flok, for at knække denne her.

Velkommen til Søren *GH*

Tak Per *S* Jeg har iøvrigt et forslag, er det ok at jeg lige smider det ind

Jeg skal lige være på den sikre side.

Når jeg kører kilbox skal netstikket være trukket ud?

hvad skal tilstanden være når jeg kører killbox: fejlsikret/normal?

og hvor dan skal jeg lade den starte op når killbox genstarter maskinen: fejlsikret/normal?

NB! iøvrigt velkommen til jer andre. Jeg er pænt imponeret og den tid så mange mennesker sætter af for at løse mine problemer. Tak!

Det er altid en god ide at have trukket netstikket ud, når det drejer sig om disse infektioner, så gør bare det. Kør bare killbox fra, og til normaltilstand

OK så har jeg kørt killbox som beskrevet af forevernewbie og maskinen er genstartet.

har kørt en hijack med det samme, og mszx23 er der stadig i loggen!

Ok, du får lige et forslag fra mig, som du kan prøve når du er færdig med Killbox.

Hent Fixagent her, og læg den på skrivebordet http://securityresponse.symantec.com/avcenter/FxAgentB.exe Du skal ikke køre den endnu.

-------------------------------------------------

Hent Cleanup her http://cleanup.stevengould.org/ Klik på "Download CleanUp! now" Scroll lidt ned på siden, og hent det på "Primary download site". Du skal ikke køre programmet endnu.

-------------------------------------------------

Startop i fejlsikret, og kør Fixagentb

-------------------------------------------------

Så kører du Cleanup. Klik "cleanup", når det er færdigt vil programmet logge af for at kunne slette alle Temp filer.

-------------------------------------------------

Kør Regsupreme igen, fix/fjern det den finder. Kør den gerne flere gange, til den ikke finder mere.

-------------------------------------------------

Genstart til normaltilstand, og lad andersenph se en ny scanning med HijackThis. (Jeg er på vej ud af døren nu, men er nok "frygteligt tilbage om en timestid ;)

Hvis du kan se den i processer kan man måske lukke den ned via. dette
http://www.beyondlogic.org/solutions/processutil/processutil.htm
og herefter slette den..

kan du se mszx23 kørende i dine processer?

Du skal selvfølglig lige installere Cleanup inden du går i fejlsikret.

Kalp-> Forstå nu dette på den gode måde. Disse hijackere er meget svære at få væk, hvis man ikke kører den rette procedure første gang. Nu prøver andersenph og jeg at få renset det sidste væk, okay ?

forevernewbie>> Sandt nok... nu må vi se hvor mange forsøg der skal til

ER igang

det er en længere procedure denen gang kan jeg se. Regsupreme alene plejer at tage en god time at køre alene.

Så jeg bliver nødt til at forlade jer lidt. Har en lille dreng der venter i vuggestuen, samt en mor dr gerne laver middag om torsdagen,. Ingen kan jeg desværre svigte. 

Men jeg vender frygteligt tilbage senere.

Indtil videre, tak for hjælpen, og beklager at jeg må forlade jer i utide.

lige en mærkelig observation jegnåede at gøre.

Under kørsel afa FxAgentB fik jeg pludselig en popup besked der sagde BAckdoor.Agent.B does nor exist on this computer (eller lign.), hvorefter programmet bare stoppede scanningen???

tjaeh, så fandt den ikke noget :(

Så der er ingen grund til at fortsætte proceduren med clenaup osv ???

Jo da, gør endelig det. Vi skal prøve at få udryddet alle de tempfiler og registreringer der holder skidtet i live

nu har jeg kørt cleanup og den sagde at (som beskrevet af jer) at jeg skulle logge af for at fjerne de 1 til 2 filer der var brug? jeg har nu logget på igen. Jeg kan lige nå at køre en hijack og se om den stadig er der inden jeg sætter regsupreme igang.

skal jeg gøre det? eller vente til senere i aften når jeg er tilbage og har kørt regsupreme?

Bagefter så opdater lige CWSShredder, og kør den igen i fejlsikret, med netstikket trukket ud. Kør så lige Cleanup igen bagefter (også uden netstik i).

Det er vigtigt at en procedure bliver kørt i et stræk, så når din tid tillader, vil jeg anbefale at du kører denne procedure, i fejlsikret, uden netstik:

CWSShredder
Cleanup
Regsupreme

i den rækkefølge

Vi har snakket lidt i baggrunden og vil gerne lokke dig til at prøve noget andet.

http://www.greatis.com/unhackme.zip
Hent denne. Pak den ud i en mappe for sig selv.
Kør programmet.
Fortæl om den finder noget.

Start derefter op i fejlsikret og lav en hijackthis log. Kopier den herind.

unhackme fandt ingenting (tog ca. 1 sekund at køre)

har genstartet i fejlsikret, men nu kam jeg ikke gigtigt få netforbindelse mere på min inficerede maskine ??? derfor ingen hijack log.

Men jeg kan fortælle jer at vores ven mszx23 stadig er at se i loggen. :(

er netop igang med

cwshredder
cleanup
regsupreme

på regsupreme valgte at tage en "deep" scanning. den fandt 1134. Det tager sgu et stykke tid at slette dem,eftersom ma nskal markere alle 1134 manuelt en ad gangen inden man kan trykke fix.

men jeg går igang

CTRL+A ;)  det er sent nu

;O) Godt kæmpet. Vi krydser fingre

HEr nu kørt regsupreme ca. 10 gange. Den bliver ved med at finde de samme 6 keys, og til trods for jeg trykker fix, kan jeg ikke komme af med dem. de er der igen umiddelbart efter i næste scanning

ud for alle 6 keys siger den at problem er: at

winupdate96797861[1].exe does not exist

vent lidt, jeg har måske en løsning. Giv mig lige 5 minutter

kan du engelsk?

Okay.. blander mig igen.. var trods alt mig som startede ud her:) hehe
Okay i SKØD min plan om dos'en i sænk.. alternativt kan dette software anvendes!
http://www.softwarepatch.com/software/moveonboot.html

Her kan man vælge at slette en bestemt fil FØR windows loader!!! Hvad siger i til det? skal vi prøve??????????????

http://computercops.biz/postp422482.html
Kuren ligger her. Den er bare på engelsk. Spørgsmålet er om jeg skal oversætte?

om jeg kan engelsk???? til husbehov i hvert tilfædle

jeg kan godt kigge på den og se om jeg forstår den

kan du give et hint om hvor jeg nogenlunde skal starte, det ser også ud som om de har været igennem flere ikek succesfulde iterationer før det fungerede

jeps

Safe mode again.

Click on Start>Run, and type %temp% then hit OK,now delete everything inside this folder.

Go to Control Panel>Internet Options>General tab, click on the Delete Files button and put a checkmark in "Delete offline content". Then press OK. This may take quite some time,just let it run.

Then empty the recycle bin.

Use Hijackthis file kill...paste in each of these paths one at a time:

C:\Documents and Settings\Christopher Hall\Start Menu\Programs\Startup\winupdate38767416[1].exe

C:\Documents and Settings\Christopher Hall\Local Settings\Temp\tmpB.tmp

C:\WINDOWS\svchost.exe

Reboot ( To safe mode again) after last one.

Run Hijackthis and have it fix this:

O4 - Startup: winupdate38767416[1].exe

tag dig ikke af at tallene på filen er anderledes.

Stien til  "C:\Documents and Settings\Christopher Hall\" skal du indsætte din egen bruger.

Og filnavnet er også anderledes. Men du kan jo nok filnavnet på den der driller dig i søvne nu....

Use Hijackthis file kill...paste in each of these paths one at a time:

?????

hvor erdet lige jeg gør det i Hijack

øjeblik...

bare for en sikkerheds skyld, så taler vi om


winupdate96797861[1].exe istedet for winupdate38767416[1].exe

mszx23.exr istedet for tmpB.tmp

og så bare svchost.exe



og

Åben Hijackthis. Tryk på misc tools.
Jeg kan ikke finde en file killer i min udgave af Hijackthis, men jeg har en delete file on reboot.
Hvis du trykker på den så kommer der en stifinder frem. Find filerne der.
Marker dem og genstart. Husk at blive i fejlsikret ind til alle er slettet.

Vi må prøve den metode først.

Husk at slette de andre ting først som er nævnt i guiden...

Nej ikke svchost. Den skal du ikke røre. Det er mszx23.exe der skal væk.

tmpB.tmp skulle gerne ryge inden, når du fjerner temp filerne i  Go to Control Panel>Internet Options>General tab, click on the Delete Files button and put a checkmark in "Delete offline content". Then press OK. This may take quite some time,just let it run.

Then empty the recycle bin.

når jeg skal slette alt i temp folderen, gælder det så også de andre folders? eller kun filer?

Gå i kontrolpanel -> internetindstillinger -> slet cookies. Slet filer. Husk at sætte vinge i offline filer også ryd oversigten. Tøm din papirkurv.
Så skulle den være der....

;O)

winupdate96797861[1].exe er der ikke mere (som regsupreme egentlig også sagde)

jeg har gjort som du sagde med mszx23.exe, efter reboot kørte jeg så hijack.

jeg kunne ikke fixe winupdate96797861[1].exe eftersom den ikke var der.

til gengæld var mszx23.exe der stadig ;(

det eneste jeg ikek fik gjort var at slette cookies! kan det være problemet?

Det tror jeg ikke, men prøv igen, hvor du så sletter cookies sammen med tempfilerne.

Ellers må vi jo krybe til korset og prøve kalp´s http://www.softwarepatch.com/software/moveonboot.html
Smid mszx23.exe ind i programmet.

;o)

Moveonboot gør sådan set det samme som Killbox. Hvis det første ikke virker, så prøv "rename on boot"

Vi knokler på sagen.

Her er det nyeste bud:
Vi leder stadig efter navne på nogle snavsede filer. SpyBot S&D kan ikke formentlig ikke fixe problemet, men ofte kan den finde navnene... så du skal hente, installere, opdatere og køre Spybot S&D. Du skal være meget opmærksom på, hvilke navne SpyBot angiver som problemer - læg SpyBots log herind. Programmet finder du her:

http://www.download.com/3000-8022-10289035.html?tag=lst-0-2

Hvad så kalp. Vil du ikke underskrive dine karmatildelinger?

her er spybot log:

(kunne ikke copy-paste, så måtte printe til PDF og copy-paste derfra, håber i kan tyde noget ud af det)

Radiate: Ad cache (Directory, nothing done)
C:\WINDOWS\amcdl\
Alexa Related: What's related link (Replace file, nothing done)
C:\WINDOWS\Web\related.htm
Aureate: Global settings (Registry key, nothing done)
HKEY_LOCAL_MACHINE\Software\Aureate
Aureate: Settings for current user (Registry key, nothing done)
HKEY_USERS\S-1-5-21-671336113-1469570820-337590876-1004\Software\Aureate
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-671336113-1469570820-337590876-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
TIBS: Program directory (Directory, nothing done)
C:\Programmer\WebSiteViewer\
TIBS: User settings (Registry key, nothing done)
HKEY_USERS\S-1-5-21-671336113-1469570820-337590876-1004\Software\WebSiteViewer
--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

andersenph
21/01-2005 10:10:30>> forklaring tak... kigger ind igen senere har lidt travlt i dag.

->kalp-> jeg har for første gang i lange tider fået tildelt et par dårlige karmaer. Selvfølgelig uden underskrift. Jeg tænkte på om det var dig? Længere er den ikke :O)

Hvis vi ved hvilken fil, der er problemet, så har jeg en metode, som jeg er ret sikker på vil virke (lidt inspireret af Kalp's tidligere forslag omkring Dos). Men den kræver en god internetforbindelse (der skal downloades ca. 650mB) og en cd-brænder.

Det drejer sig om at lave en Knoppix-boot cd (Linux). Knoppix er nemlig kendetegnet ved at kunne læse og skrive på NTFS-formaterede harddiske. Så kan man starte op i et styresystem, uafhængigt af de filer der ligger på harddisken, og herfra gå ind og slette de filer man ikke ønsker skal ligge der. Så har virussen ikke mulighed for at spærre for en sletning af sig selv. Det eneste problem jeg har med at føre dette råd til ende er, at jeg ikke kan huske hvordan man finder Windows' filstruktur indenfor Linux (jeg mener dog det har noget med /dev/hda/ at gøre... Hvis det har interesse kan jeg muligvis i løbet af weekenden søge lidt op på det.

andersenph
21/01-2005 13:02:10>> ahh okay, men du kan takke eksperten for det med, at man ikke kan se afsenderen. Jeg kan dog love dig for det ikke er mig, som har afgivet dem/den?..

bemærk lige jeg selv har fået en dårlig karma... sorry for spam i spørgsmålet

ejvindh-> Deg er faktisk et godt forslag du kommer med. Det er en god metode, hvis man skal se filer som bliver dækket af et roootkit. Vi har dog næsten udelukket et rootkit med "unhackme". Helt udelukke et rootkit kan vi dog ikke. Jeg ser problemet således, at der gemmer sig en eller flere filer, der i samarbejde med tmp filer, og registreringer, holder liv i infektionen. I visse tilfælde kan disse skjulte filer ses i en HijackThis log, som er kørt i fejlsikret, så jeg syntes at vi skal prøve at se sådan en. Fjernelsen mener jeg så skal foretages ved at køre Cleanup i fejlsikret, bagefter Regsupreme, i håb om at fange nogle af registreringerne, hvorefter filen/filerne bør kunne slettes

forevernewbie: Tak for info. Jeg holder mig i ro foreløbig så.

Ejvindh-> Det behøver du da ikke. Det er da slet ikke utænkeligt, at der bliver behov for at afprøve dit forslag :)

OK, jeg kan se at niwikr ikke har sendt den nye log ind, og det tyder måske på at han/hun har opgivet. Men da jeg nu HAR fået undersøgt mit KNOPPIX-forslag lidt nærmere, så poster jeg alligvel proceduren. Det kan jo være den kan blive til gavn i en anden sammenhæng:

Få lavet en Knoppix-boot cd (guide her: http://www.tvprogrammer.dk/manual.html)
Sæt Knoppix-boot cd'en i drevet, og start computeren (computeren skal være sat op til at boote fra CDRom-drevet (gøres inde i Bios))
Så dukker hurtig en skærm op, hvor der nederst står "Boot:"
Tast return
Så indlæses Knoppix
Når den er færdig fremstår et skrivebord, hvor man bl.a. finder et ikon med en tekst der ligner følgende: "Hard Disk Partition [hda1]". Her kan man finde Harddisken som den er konfigureret i Windows
I linux-sprog (hvis man skulle åbne fra Linux' filhåndteringsprogram Konqueror, ligger dette i file:/mnt/hda1)
Start med at højreklikke på dette ikon, klik på "Change read/write mode" og klik på "yes"
Hvis Knoppix melder at drevet ikke er mounted, så start med at højreklikke og vælg "Mount"/"Monter"
Enkeltklik herefter på ikonet, og gå ind og lav de ønskede ændringer.

Det skal siges at jeg ikke har testet dette på en NTFS-formateret HD, idet jeg netop af problemer som disse foreløbig holder mig til FAT32 på mine computere. Det er nok lidt vigtigt at man har fat i en version 3.4 eller senere af KNOPPIX, idet det først er fra dette tidspunkt NTFS-understøttelsen er i orden.

Nej helt opgivet hat jeg nu ikke. Men tæt på!

Jeg værdsætter dit forslag ejvindh, men den omfattende procedure du foreslår magter jeg ikke rigtigt, såfremt det heller ikke hjælper vil jeg efterhånden have brugt alt for meget tid på det her problem. Jeg må jo også videre i mit arbejde.

De sidste pat forsøg har virket lidt som et sifyfos arbejde, så med mindre en af jer har en løsning, som i har en god fornemmelse af vil fungere, tror jeg at jeg må bide i det sure æble og formatere lor...

misforstå mig ikke, jeg værdsætter virkelig jeres indsats, og jeg har intet bedre selv at byde ind med. Men jeg har bare ikke tid/råd til at fortsætte med at forsøge at løse problemet.

ejvindh > Udmærket guide. Prøv lige at se om ikke du har et menupunkt i startmenuen i knoppix, der hedder Captive-ntfs.
Jeg testede Linux Defender for ½ år siden. Den var den første linux der kunne skrive på ntfs drev og i den skulle man igennem Captive-ntfs for at få skrive adgang til ntfs-drev, ellers blev de blot mountet som skrivebeskyttet via en default driver i linux.
Af faq's kan jeg se at captive-ntfs er inkluderet på knoppix-cd'en og det kunne være fint at få opklaret om man stadig skal ind igennem den for at få skriveadgang, eller om de har automatiseret det.

niwikr: Det har jeg stor forståelse for. Grunden til at jeg har holdt forslaget tilbage så længe er netop at den kræver et vist forarbejde. Vær dog opmærksom på, at det kun er meget omfattende, hvis man har en langsom internetforbindelse. Linux har ry for at være "svært" at arbejde med, men det er altså efterhånden en skrøne. Hvis du læser mit forslag igennem vil du se, at de enkelte trin i sig selv ikke er så svære, hvis man allerede kan finde ud af at navigere i Windows.

Tonnybrandt: Som default er adgangen til HD blot læseadgang. Men det ændres vha. det trin hvor man højreklikker HD-ikonet og vælger "Change read/write mode".

OM det virker på NTFS har jeg som sagt ikke kunnet teste, idet jeg ikke bruger NTFS-formatet. Men ifølge denne tråd, skulle KNOPPIX have captive ntfs siden 3.4 udgaven:

http://www.knoppix.net/forum/viewtopic.php?t=11736&start=0

Som man kan se i tråden, skal man her gøre noget forarbejde for at få skrivningen til at virke. Det skal derfor nok indføjes i min guide:
-----------------------------------
åben en terminal vindue (svarer lidt til et dosvindue i Windows) og tast
"su"
mount -t captive-ntfs /dev/hdx# /mnt/hdx#
(Hvor x og # identificerer den partition du vil have adgang til (typisk a1).)

Skrivningen bliver egentlig blot sat i kø, og man er derfor nødt til at afmontere partitionen inden de faktiske skrivninger bliver foretaget. Med følgende kommando i terminal:

umount /mnt/hdx#
(hvor x og # identificerer den partition du vil have adgang til (typisk a1).)
-----------------------------------
Man kan vist også gøre det uden terminalen, vha Startmenuen->Knoppix->Utilities->Captive NTFS. Når jeg skriver "vist" så er det fordi jeg ikke lige har CD'en hos mig nu. Men det vender jeg tilbage med.

Mit GÆT vil være at i de nyeste versioner af KNoppix kører captive-ntfs automatisk når KNOPPIX i opstarten detekterer en NTFS-formateret HD (Knoppix er kendt for at være en distribution, der fanger allermest hardware af sig selv), og når man så beder om at mounte eller change read/write, så starter Captive Ntfs op automatisk. Men hvis der er nogen der har mulighed for at teste det, så meld gerne tilbage. Så strikker vi en samlet guide sammen tilsidst.

ejvindh > jeg er ved at hente knoppix'en og skal nok teste den på et ntfs drev :)

nwikr > Tråden er lang og jeg forstår at du er kørt træt i det. Nu er det et stykke tid siden at en HiJackThis log har været sendt, så hvis du lige vil sende en ny, skal jeg gerne kigge den igennem og se om vi er henne i en formatering eller at der stadig er en mulighed. Lige nu kan jeg ikke længere overskue hvad der er tilbage i loggen bortset fra den Backdoor virus.

niwikr>> Fik du nogensinde prøvet http://www.softwarepatch.com/software/moveonboot.html

?

ejvindh > Testen mislykkedes. Det lykkedes at boote 4 computere med ntfs drev med cdrom'en, men det lykkedes på intet tidspunkt at få skriverettighed til drevene, hverken ved blot at klikke på drevene eller ved at prøve Captive ntfs, som ligger i menuen under "pingvinen" | Utilities | Captive NTFS.

Jeg foreslår at vi flytter Knoppix-diskussionen over i en anden tråd, da niwikr har afvist ideen som en ønskelig løsning på hans/hendes problem:
http://www.eksperten.dk/spm/584430

seneste hijack log:

Logfile of HijackThis v1.99.0
Scan saved at 11:27:54, on 25-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\temp\salm.exe
C:\WINDOWS\ovmt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\programmer\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

hmm.. den er jo væk??

der er kommet noget andet i loggen..

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Har ikke lige set om der er mere.. kan jeg lige gøre.

Der er lidt mere.. giver det 5 min.. hvis ikke de andre kommer med en procedure gør jeg...

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe


Find og slet:

Filer

C:\temp\salm.exe
C:\WINDOWS\ovmt.exe



Mapper

C:\Program Files\AdStatus Service\
C:\PROGRA~1\SEARCH~1


Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\System32\DSMANA~1.DLL


Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.


Genstart normalt og ny log

Her er en sjov observation, jeg ved ikke om i kan bruge den til noget?

som kalp skriver er DEN ER JO VÆK!  (mszx23.exe)

Men ovenstående log er taget efter explorer er åbnet og popup helvedet er gået løs. (dvs. virusen har vist sit grimme fjæs). Og så er mszx23.exe der ikke mere !!!!

MEN..... virsuen komme IKKE når jeg genstarter og IKKE åbner explorer, men f.eks bruger firefox som browser istedet. og så er vore ven mszx23.exe der pludselig igen. se log:

Logfile of HijackThis v1.99.0
Scan saved at 11:34:05, on 25-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\temp\salm.exe
C:\WINDOWS\ovmt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpqfru07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\programmer\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Jeg ved ikke om det er relevant info der kan lede jer på sporet???

http://forum.gladiator-antivirus.com/index.php?showtopic=22433

hmm.. han har samme problem.. i log nummer 2 er den væk.. men måske det er ligesom din log før? så den er kun "væk" delvist

Det afhænger helt og holdent af om explorer er åbnet eller ej, om mszx23 viser sig eller ej.

explorer åbnet = mszx23 tilstede
explorer IKKE åbnet = mszx23 IKKE tilstede

så den er nok slet ikek delvist væk, men skjuler sig på en aller anden måde.

En eller anden sig i er gode til spansk eller italiensk!! tror løsningen er her

www.chip.co.id/forum/showthread.php%3Fgoto%3Dlastpost%26t%3D3681+drct16.dll&hl=en&client=firefox-a" target="_blank">http://www.google.com.au/search?q=cache:TypFL1FEtRIJ:www.chip.co.id/forum/showthread.php%3Fgoto%3Dlastpost%26t%3D3681+drct16.dll&hl=en&client=firefox-a

jeg har selv forstået det som om man skal ind og slette nogen ting i registry


[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

"000"="cz.dll"

"001"="drct16.dll "

"002"="sharamon.dll"

"003"="mszx23.exe"

Jeg har en ide, som måske kan bringe lidt klarhed over feltet.

Men vi skal lige vide den helt pæcise sti til filen mszx23.exe

Så mens du har explorer'en åben klikker du start | kør, skriv cmd og tryk enter.
Skriv disse linier en efter en og tryk enter:
attrib -h -s -r C:\WINDOWS\System32\mszx23.*
dir C:\WINDOWS\System32\mszx23.* > c:\msx.txt

Kopier indholdet af c:\msx.txt herind.

niwikr>> hvad ser du hvis du i regedit følger stien?

[HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

et øjeblik til jer begge

ahh.. har lige kigget under min regedit i den rod! jeg tror du finder den der!!

niwir>> Hvis ikke du finder den der (hvilket en næsten tror du gør) så når du åbner regedit gør følgende istedet

Tryk Ctrl + B

og søg efter

mszx23.exe

eller

"003"="mszx23.exe"

og se om den finder det på den måde.. hvis ja så finder vi også lige dll filen/erne.

mszx23.exe har snart talt sine dage:o) I hope

til tonnybrandt

her er indholdet:

Disken i drev C er ACER
Diskens serienummer er 290E-14EF

Indhold af C:\WINDOWS\System32

25-01-2005  11:33            48.784 mszx23.exe
              1 fil(er)          48.784 byte
              0 mappe(r)  14.847.606.784 byte ledig

niwikr sig lige til når du har tjekket i registry.. den må næsten være der.. jeg har noget mere nemlig

skal lige have opfrisket hvor/hvordan man checker i registry

Tryk Start-> kør og skriv "regedit" prøv først at følge stien som jeg skrev se om den skulle være der eller søg efter den som beskrevet i min forrige kommentar

Du har sikkert travlt med en masse andet.. men den må jo næsten kunne finde i regedit via. søg. Det andet jeg ville have dig til at gøre var at uploade den hertil
http://virusscan.jotti.org/

Jeg vender tilbage i aften.. håber regedit var løsningen, men vender spændt tilbage.

http://www.techsupportforum.com/computer/topic/34430-1.html

Lidt om samme problem igen..

Jeg ser det som om du skal tjekke regedit som foreslået og slette

"001"="drct16.dll "

"002"="sharamon.dll"

"003"="mszx23.exe"

Jeg er ikke sikker på "000"="cz.dll" men tror også den skal slettes!

søg på din computer i fejlsikret tilstand efter dll filerne og slet dem også her.. slet og exe filen hvis du kan..

Tryk start -> kør og skriv msconfig

har du følgende linje?
Bootsec=mszx23.exe

fjern hak fra den..

Ses i aften.

Hmm.. fortæl mig lige om følgende fil eksisterer på din maskine:
c:\windows\system32\vdmt16.sys

ja det

c:\windows\system32\vdmt16.sys

eksisterer på min maskine

Ok, det er en underlig fisk, denne her for det er en blanding af nye og gamle ting.
Jeg prøver lige at sætte et fix sammen af både de ting kalp har fundet frem til og det jeg selv har fundet.
Men det tager lige et stykke tid. Jeg vil lige teste det ordentligt så jeg ikke crasher din maskine.

fair nok.

iøvrigt tror du det er muligt at tage en backup af diverse mapper,som jeg gerne vil gemme (i tilfælde af at jeg mister eller må formatere), uden at jeg slæber virusen med?

Ja, det er det helt sikkert. Virus'en er ikke "slem". Den lægger nogle filer inde i windows og laver om i registreringsdatabasen men rører ikke dine dokumenter.
Den rører faktisk heller ikke andre legitime filer i windows. Men den er bare rigtig træls fordi den lægger sig mange steder i registreringsdatabasen.

angående registreringsdatabasen så skulle den søgning jeg bad og gerne finde alle entries..

fik du søgt niwikr?

under alle omstændigheder så vent til tonnybrandt er kommet med sin procedure til det sidste

Jeg har valgt ikke at slette filerne endnu, idet det stadig ikke er 100% sikkert at der ikke er flere steder i reg. basen hvor filerne er nævnt og derfor kunne den fryse hvis en fil manglede. Typisk vil en sådan infektion gendanne sig selv med det samme og vi bør derfor kunne se om fixet har virket i den efterfølgende HiJackThis log. Virkede det skal jeg nok lave en procedure der også sletter filerne.

Endvidere har jeg valgt ikke at tage det kalp har fundet med i fixet, da den MRU key er ligegyldig.

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
"salm"=-
"ovm"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-

-------------------------------------

Genstart i fejlsikret tilstand.

Dobbeltklik på remove.reg og sig ja til at flette.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen og udvid den så du kan se de underliggende objekter.
Hvis disse nøgler stadig findes:

LEGACY_VDMT16
LEGACY_MEMLOW

udfør da følgende.
Klik ROOT så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.
Højreklik nu de to nøgler (LEGACY_VDMT16 ogLEGACY_MEMLOW) og vælg slet.

Luk regedit.

Genstart (kryds fingre og hold vejret), start en explorer og kom med en ny HiJackThis log.

Hov jeg glemte en enkelt ting som jeg ikke fik skrevet ind.

Denne del kan du lige så godt gøre med det samme du kommer i fejlsikret tilstand, da du ellers vil få en fejl når du forsøger at køre REG-filen:

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen og udvid den så du kan se de underliggende objekter.
Hvis disse nøgler stadig findes:

LEGACY_VDMT16
LEGACY_MEMLOW

udfør da følgende.
Klik ROOT så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.
Højreklik nu de to nøgler (LEGACY_VDMT16 ogLEGACY_MEMLOW) og vælg slet.

Glem det, jeg skriver lige den fulde procedure igen da jeg kan se at nøglen mangler.

Nej jeg har ikke fået søgt endnu, men skal jeg ikke vente til jeg har fået tonnybrandts procedure? (sådan en ting ad gangen du ved ;-)

iøvrigt ser min windows job-liste pænt mærkelig, ud. Jeg har oversigten over åbne programmer, men mangler toppen??? dvs. fanebladene og menuen, hvor man kan skifte til processor, cpu-forbrug osv.

mystisk?? ved i evt. om jeg kan være kommet til selv at fjerne det ved en fejl, eller er det noget som måske også skyldes virusen??

Jeg har valgt ikke at slette filerne endnu, idet det stadig ikke er 100% sikkert at der ikke er flere steder i reg. basen hvor filerne er nævnt og derfor kunne den fryse hvis en fil manglede. Typisk vil en sådan infektion gendanne sig selv med det samme og vi bør derfor kunne se om fixet har virket i den efterfølgende HiJackThis log. Virkede det skal jeg nok lave en procedure der også sletter filerne.

Endvidere har jeg valgt ikke at tage det kalp har fundet med i fixet, da den MRU key er ligegyldig.

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
"salm"=-
"ovm"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-

-------------------------------------

Genstart i fejlsikret tilstand.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT

Klik ROOT så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.

Luk regedit.

Dobbeltklik på remove.reg og sig ja til at flette.

Genstart i normal tilstand (kryds fingre og hold vejret), start en explorer og kom med en ny HiJackThis log.

Mht din sidste fejl i joblisten, så blot klik på kanten så bliver den normal igen.

Denne gang er den ok *s*

OK tonnybrandt ,jeg går igang ASAP! lige en ting dog.

Der var jo forskel på min hijack log, alt efter om explorer var åben eller ej, derfor: skal jeg foretage manøvren før eller efter jeg åbner explorer? og måske helt uden netstik i?

Det bør faktisk være ligegyldigt da det foregår i fejlsikret tilstand, men for en god ordens skyld, så lad helt være med at starte en explorer op.

Fik klokket lidt i det, da jeg er kommet til at genstarte 2 gange. Kan det have ødelagt det? i givet tilfælde foretager jeg blot proceduren igen.

desuden sagde jeg ikke ja til at "flette" men mere i retning af " vil du tilføje til registreringsdatabasen", går ud fra at det er det samme?

endelig så startede jeg explorer og fik en log med mzsx23, emn først efter at jeg havde været lidt på med explorer viste virusen sig, og så var loggen igen ude mszx23:

poster her begge logs:

FØR virus var get igang:

Logfile of HijackThis v1.99.0
Scan saved at 15:37:39, on 25-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\WINDOWS\ovmt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\programmer\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

EFTER VIRUS VAR GÅET IGANG:

Logfile of HijackThis v1.99.0
Scan saved at 15:44:17, on 25-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 2 for hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 5 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\programmer\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Hmm.. du får en anden procedure om lidt hvor vi går hårdt til den og prøver at provokere den til at komme frem af busken.

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
"salm"=-
"ovm"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-

-------------------------------------

Gem teksten mellen de stiplede liner som en tekstfil med navnet slet.bat og læg den på dit skrivebord.

-------------------------------------

attrib -h -r- s c:\windows\system32\mszx23.exe 
attrib -h -r- s c:\windows\system32\w32tm.exe
attrib -h -r- s c:\windows\system32\drct16.dll
attrib -h -r- s c:\windows\system32\cz.dll
attrib -h -r- s c:\windows\system32\vdmt16.sys
attrib -h -r- s c:\windows\system32\hz.dll
attrib -h -r- s c:\windows\system32\winlow.sys
attrib -h -r- s c:\windows\system32\wz.dll
attrib -h -r- s c:\windows\system32\p2.ini
attrib -h -r- s C:\WINDOWS\ovmt.exe
attrib -h -r- s C:\WINDOWS\System32\DSMANA~1.DLL
attrib -h -r- s C:\PROGRA~1\SEARCH~1
attrib -h -r- s C:\Program Files\AdStatus Service

del /f c:\windows\system32\mszx23.exe 
del /f c:\windows\system32\w32tm.exe
del /f c:\windows\system32\drct16.dll
del /f c:\windows\system32\cz.dll
del /f c:\windows\system32\vdmt16.sys
del /f c:\windows\system32\hz.dll
del /f c:\windows\system32\winlow.sys
del /f c:\windows\system32\wz.dll
del /f c:\windows\system32\p2.ini
del /f C:\WINDOWS\ovmt.exe
del /f C:\WINDOWS\System32\DSMANA~1.DLL

rd /q C:\PROGRA~1\SEARCH~1
rd /q C:\Program Files\AdStatus Service

md c:\windows\system32\mszx23.exe 
md c:\windows\system32\w32tm.exe
md c:\windows\system32\drct16.dll
md c:\windows\system32\cz.dll
md c:\windows\system32\vdmt16.sys
md c:\windows\system32\hz.dll
md c:\windows\system32\winlow.sys
md c:\windows\system32\wz.dll
md c:\windows\system32\p2.ini
md C:\WINDOWS\ovmt.exe
md C:\WINDOWS\System32\DSMANA~1.DLL

attrib +h +s +r c:\windows\system32\mszx23.exe 
attrib +h +s +r c:\windows\system32\w32tm.exe
attrib +h +s +r c:\windows\system32\drct16.dll
attrib +h +s +r c:\windows\system32\cz.dll
attrib +h +s +r c:\windows\system32\vdmt16.sys
attrib +h +s +r c:\windows\system32\hz.dll
attrib +h +s +r c:\windows\system32\winlow.sys
attrib +h +s +r c:\windows\system32\wz.dll
attrib +h +s +r c:\windows\system32\p2.ini
attrib +h +s +r C:\WINDOWS\ovmt.exe
attrib +h +s +r C:\WINDOWS\System32\DSMANA~1.DLL

-------------------------------------

Genstart i fejlsikret tilstand.

Dobbeltklik på remove.reg og sig ja til at flette.

Dobbeltklik på slet.bat og sig ja til at flette.

Kør HiJackThis og fix disse linier:
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [ovmt] C:\WINDOWS\ovmt.exe <--hvis den stadig er der

Og så gør vi det lige en gang til for en sikkerheds skyld:

Dobbeltklik på remove.reg og sig ja til at flette.

Dobbeltklik på slet.bat og sig ja til at flette.

Genstart i normal tilstand start en explorer og kom med en ny HiJackThis log.

Hvis du får fejlmeddelelser undervejs, må du meget gerne skrive dem ned. Dette fix er lige så meget beregnet til at give den infektion et ordentligt chok, så den forhåbentlig kommer med en fejlmeddelelse der kan afsløre hvor det sidste gemmer sig.

jeg prøver lige det nye..

Jeg kan fortælle at jeg allerede efter sidste "runde" og netop nu får en "warning" der ikke ligner noget jeg tidligere har set.

Et popupvidue i gråt med titlen  "180search Assistant Alert"

vinduet er helt gråt og indeholder firkant hvor der str "WARNING" og efter følgendede

"The system has detected that a third-party application has removed 180search Assistant, possibly without your consent. This may cause some programs not to run as expected. Please choose an option below."

Der er så en firkant med titlen options og tre radio-buttons samt en "continue" knap.

de tre valgmuligheder er:

"Re-install 180search Assistant so that your programs will run as expected. Requires internet connectivity,"

"Leave 180search Assistant un-installed, and clean up any 180search Assistant files or settings that remain."

"Remind me later"

JEg har valgt "remind me later"

boksen ligner ikke det man normalt ser fra windows, og er iøvrigt på engelsk, hvor min windows version er dansk.

Jeg har netop gjort ovenstående. (Venter med hijack log til virusen viser sig)

i mellemtiden kan jeg fortælle at der ikke rigtigt kom nogen fejlmedellelser undervejs.

når jeg kørte de to filer oplevede jeg dog ikke at den spurgte om jeg skulle flette, derimod spurte den ved den remove.reg om jeg ville tilføje ændringer til registreingsbasen eller lign. Det skette begge gange jeg kørte den.

Når jeg kørte slet.bat spurgte den første gang slet ikke om noget, kørte bare en masse i en DOS promt som selv lukkede umiddelbart efter,

MEN....  anden gang stoppede den 5-6 gange og spurgte om jeg ville slette diverse filer. Til dette svarede jeg ja hver gang.

her er log: (explorer åbne, men virusen har endnu ikke vist sig, i form at popups eller lign.)

Logfile of HijackThis v1.99.0
Scan saved at 23:06:59, on 25-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\ltmoh\Ltmoh.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\CtrlVol.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Acer\Notebook Manager\almxptray.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Nicolai\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programmer\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programmer\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmer\Fælles filer\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programmer\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Free WebSite Tools.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\programmer\microsoft office\office11\excel.exe/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.dfhweb.dk/tsweb/test/msrdp.cab
O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://www.dfhnet.dk/backend/codebase/ikcntrls.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Ok, som jeg skrev var fixet lige så meget for at få en eller anden fejlmeddelelse, der kunne afsløre hvad der egentligt holdt liv i infektionen. Det fixet har gjort er at det nu er umuligt for infektionen at danne de filer, den skal danne for at være i live. Men om der stadig er et eller andet på maskinen, eller om vi fik det hele denne gang er lidt svært at spå om.
Det er en variant af haxdoor som der ikke står noget om på nogen virussider, men den minder meget om den første version og det er den fixet er bygget ud fra.

Loggen er forresten ren.

Mht den 180 search assistent, kan du blot næste gang den kommer vælge den midterste:
"Leave 180search Assistant un-installed, and clean up any 180search Assistant files or settings that remain."

Bagefter må du så godt lige lægge en hijackthis log, da jeg ikke stoler på at spywarefirmaer rent faktisk afinstallerer deres software, når de tilbyder det.
Lige den er slet ikke svær at fjerne, så hvis den lægger noget vil det være meget let at fjerne igen.

OK det lyder jo meget lovende. Vil du mene at vi er kommer af med virusen nu?

sorry! du skriver jo at det er svært at spå om!

Hvordan finder vi ud af det? Lader tiden gå og ser om der er nogle gener?

Der er 2 veje at gå:

1. fjene det fix jeg lavede og se om den så kommer igen.
2. lade der gå et par dage og hvis der intet nyt sker, så kalde det for ok, og glemme alt om at den nogensinde har været inficeret. Det er helt sikkert at virus'en ikke længere kan kommunikere, selvom der skulle ligge en rest tilbage.

Tonnybrandt: Du er simpelthen mesteren på dette site efterhånden !! :-)

andersenph var ved at rense i nedenstående tråd, men satte den i bero indtil der var kommet en løsning herinde. Jeg tænkte på om du måske kunne hjælpe den bruger videre også -- nu hvor andersenph jo har forladt E?

http://www.eksperten.dk/spm/582722

Jeg kan kun tilslutte mig at du er mesteren tonnybrandt. Jeg har arbejdet hele dagen på computeren uden problemer, så jeg tror vi lader den ligge der og konkluderer at problemet er løst. :-)

Det har taget lang tid, men været det hele værd, eftersom jeg nu undgår en masse besvær med backup formattering osv. Så tusinde tak for hjælpem til dig tonnybrandt.

Og også tak til jer andre der har deltaget og brugt tid på at forsøge at løse problemet.

PS! har endnu ikke fået min popup for "180 search assistent", sender lige en log når den er slettet.

NB!!

hov! så postede jeg vist selv et svar!!! tonnybrandt kan du ikke lægge et svar herind,så du ka nfå pointene, du har bestemt fortjent dem.

Jeg siger mange tak for de pæne ord *s*

Jeg lægger så et svar, og du smider som sagt bare en HiJackThis log når den har spurgt dig igen mht 180 search.

ejvindh > Også tak til dig, og jeg skal nok overtage det pgl spørgsmål :)

Ja, ja, det kan godt være Tonnybrandt er god til at rense computere, men det der med at lægge svar, er han ikke så god til... ;-)

Hmm.. det må jeg jo til at lære så *G*

Her kommer det (vist)

Takker for point :)