jeg har fået en virus

Hej Tmoldt.

Jeg vil råde dig til at køre en scanning med HijackThis, gem og post loggen her, så skal vi nok hjælpe dig med at rense den. Du skal endelig ikke selv fixe/slette noget i den! Den nyeste version kan hentes her:

HijackThis (v1.99.0)
http://www.mdegn.dk/download/HijackThis.exe

//Cookie_ll

nu har jeg ,og fundet 40 filer
men det er vel ikke dem alle jeg kan undvære

hvad gør jeg nu ????

Som skrevet ovenfor.... du skal poste hele loggen her ;o)!

hvilken mail adresse skel jeg sendetil, eller skal jeg paste txt ind her

Som skrevet ovenfor .... du skal poste loggen her ;D .... ja, dvs paste den ind her *GG*!

//Cookie_ll

Logfile of HijackThis v1.99.0
Scan saved at 20:29:10, on 26-01-2005
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\Explorer.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\Programmer\HP\HP Software Update\HPWuSchd.exe
C:\WINNT\System32\internat.exe
C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\Microsoft Office\Office\OSA.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Administrator\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {238561FE-488E-4B39-9F3A-94BD73469BC0} - C:\WINNT\System32\bckjfa.dll
O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Setup\Setup.dll
O2 - BHO: (no name) - {4E8EDF0D-FAEC-87CD-CD4D-080A3F82C235} - C:\DOCUME~1\ADMINI~1\APPLIC~1\showchin\Download Draw.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [new deaf cast window] C:\Documents and Settings\All Users\Application Data\FINDNOUNNEWDEAF\4flag.exe
O4 - HKLM\..\Run: [Stop-Sign_Install_Recovery] C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\ss_stopsign.exe -k
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [1boob] C:\DOCUME~1\ADMINI~1\APPLIC~1\DRIVEE~1\Debug Bows 01.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Creative Detector] C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.8.cab
O18 - Filter: text/html - {32A5F668-757A-4BD8-831E-E007C426526D} - C:\WINNT\System32\bckjfa.dll
O18 - Filter: text/plain - {32A5F668-757A-4BD8-831E-E007C426526D} - C:\WINNT\System32\bckjfa.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ll_reg - Unknown - Rundll32.exe (file missing)
O23 - Service: Microsoft    NetWork  FireWall  Services - Unknown - Net_Services.exe (file missing)
O23 - Service: Microsoft NetWork FireWall Services - Unknown - NetServices.exe (file missing)
O23 - Service: Norman API-hooking helper - Unknown - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Windows Management Instrumentation Driver Extension - Unknown - C:\WINNT\System32\WinDriver.exe (file missing)

Flot *G*! Jeg skal bare lige spise færdig. Skal nok kigge på den om lidt. Håber, du kan vente så længe :o)?!

//Cookie_II

jeg venter med glæde

Hej igen.

DAMN, slugte maden i 2 mundfulde – for at finde ud af, at Eksperten alligvel var nede :D! Nåh, men ja, din log er lidt snavset, så der er lidt, der lige skal fixes.

Hent Kaspersky engangsscanner men vent med at bruge det til jeg siger til:
http://www.mwti.net/download/tools/mwav.exe

Dit system har ikke systemgendannelse, så vi går i gang med rensningen med det samme :o).

Genstart PC i fejlsikret tilstand (tryk F8 gentagne gange ved opstart).

Afinstaller MessengerPlus3 via Start => Kontrolpanel => Tilføj eller fjern Programmer, hvis det er der.

Kør så en ny scanning med HJT og sæt flueben ved disse:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {238561FE-488E-4B39-9F3A-94BD73469BC0} - C:\WINNT\System32\bckjfa.dll
O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\Setup\Setup.dll
O2 - BHO: (no name) - {4E8EDF0D-FAEC-87CD-CD4D-080A3F82C235} - C:\DOCUME~1\ADMINI~1\APPLIC~1\showchin\Download Draw.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [new deaf cast window] C:\Documents and Settings\All Users\Application Data\FINDNOUNNEWDEAF\4flag.exe
O4 - HKLM\..\Run: [Stop-Sign_Install_Recovery] C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\ss_stopsign.exe -k
O4 - HKCU\..\Run: [1boob] C:\DOCUME~1\ADMINI~1\APPLIC~1\DRIVEE~1\Debug Bows 01.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.8.cab
O18 - Filter: text/html - {32A5F668-757A-4BD8-831E-E007C426526D} - C:\WINNT\System32\bckjfa.dll
O18 - Filter: text/plain - {32A5F668-757A-4BD8-831E-E007C426526D} - C:\WINNT\System32\bckjfa.dll
O23 - Service: ll_reg - Unknown - Rundll32.exe (file missing)
O23 - Service: Microsoft    NetWork  FireWall  Services - Unknown - Net_Services.exe (file missing)
O23 - Service: Microsoft NetWork FireWall Services - Unknown - NetServices.exe (file missing)
O23 - Service: Windows Management Instrumentation Driver Extension - Unknown - C:\WINNT\System32\WinDriver.exe (file missing)

Luk alle øvrige programvinduer så kun HJT er åben. Klik på ”Fix checked”.

Søg og slet nedenstående filer/mapper, hvis de stadig er der. Husk at ændre mappeindstillinger så du kan se skjulte filer samt systemfiler.
(Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".)

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll <<<< Slet filen
C:\WINNT\System32\bckjfa.dll <<<< Slet filen
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Setup\ <<<< Slet mappen
C:\DOCUME~1\ADMINI~1\APPLIC~1\showchin\ <<<< Slet mappen
C:\Programmer\Messenger Plus! 3\ <<<< Slet mappen
C:\Documents and Settings\All Users\Application Data\FINDNOUNNEWDEAF\ <<<< Slet mappen
C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\ss_stopsign.exe <<<< Slet filen
C:\DOCUME~1\ADMINI~1\APPLIC~1\DRIVEE~1\ <<<< Slet mappen
C:\Programmer\Microsoft Office\Office\FINDFAST.EXE <<<< Slet filen
C:\WINNT\System32\bckjfa.dll <<<< Slet filen

Ændr derefter mappeindstillinger tilbage til ikke at vise skjulte filer og skjulte systemfiler.

Kør så med Kaspersky engangsscanner.
(Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
- og prik i følgende:
All local drives og Scan all files. Klik på scan.)

Genstart i normal tilstand. Kør en ny scanning med HJT og smid loggen herind til kontrol.

-----
Dit system er i øvrigt hullet som en si i øjeblikket, så jeg vil kraftigt anbefale, at du får installeret en af nedenstående Service Packs samt kritiske opdateringer hurtigst muligt.

SP1 DK:
ftp://ftp.sdu.dk/pub/microsoft/xpsp1/dk/xpsp1_da_x...
SP2 DK:
ftp://ftp.sdu.dk/pub/microsoft/xpsp2/dk/WindowsXP-...
(Må dog først installeres, når din PC er HELT ren!)


//Cookie_ll

HOV ... glemte lige, at du jo har Windows 2000 og kan derfor ikke bruge de SP-links, jeg gav dig :D. Jeg finder lige nogle andre frem til dig. Sorry.

//Cookie_ll

ok det lyder som en større operation,
Har du en mailadresse, eller kan jeg bare henvende mig til dig igen her på siden
i morgen
Jeg skal på arbejde, så jeg har ikke mere tid


du har under alle omstændigheder fortjent dine point

Tommy

Du kan bare henvende dig her :o). Ja, det er måske en "større" operation, men jeg har dog set MEGET, MEGET værre ;o).

Har fundet de relevante links frem til dig nu.

Brug denne Kaspersky scanner i stedet for den anden, jeg gav dig. Denne er en udvidet udgave:

http://www.spywareinfo.dk/download/mwav.exe

Og her er så den, du skal opgradere din PC med:

SP4: ftp://ftp.sdu.dk/pub/microsoft/w2k/sp4/dk/w2ksp4_da.exe

Vi "ses" i morgen - håber jeg :o)!

//Cookie_ll