Explorer/virus

Lad os se om den kan ses i HiJackThis:

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Kan du ikke også lige skrive et link til hjemmesiden?

http://www.downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis

Hovsa - jeg mente at ruske1 skulle skrive et link :o)

Hej,
Undskyld at jeg først svare nu.
Men der er lidt problemer.
Kan ikke downloade Hijack This, det vi virusen ikke tillade mig. Har prøvet at gøre det på en anden pc og installere programmet via en diskette, men det vil "får" jeg heller ikke lov til. Folderen lukkes simpelthen ned når jeg vil åbne den.
Jeg kan ikke engang få lov til at åbne de her sider på eksperten (ulrikchristensen, det gælder alle virus relaterede hjemmesider), så jeg sidder på en anden pc, for at kunne skrive dette.
Så det er sgu noget tis.
Hvis i har nogle forslag er jeg meget lydhør.

På forhånd tak.....

Har du prøvet at starte op i fejlsikret tilstand og åbne hijackthis?

Har lige prøvet, men jeg bliver cuttet af når jeg forsøger. :(

hmm.... hvilken folder er det den lukker ned? din diskette?

Nope prøvede linket du gav.
Virusen har forresten også sat mit virusprogram(Panda) ud af spil, det kan ikke åbnes, jeg kan dog stadig vælge en folder og scanne den.
Virusprogrammet finder en virus kaldet hosts, hver gang den scanner, og sletter den. Men der går kun 30 sek så er den der igen.
hosts ligger under winnt/drivers/etc. (win2000).

vi må lige satse lidt.. download denne ældre version af hijackthis.
http://www.downloadportal.dk/board/forum_posts.asp?TID=24&PN=1&TPN=1

Kopir den ind på din pc og se om du kan køre det.. ellers prøv direkte fra disketten.

Heller ikke det.
Linket kan ikke åbnes og den kan ikke åbens fra diskette. HULLLLK GG

http://www.merijn.org/files/hijackthis.zip

direkte download link

Det link før skulle også have været dette..
http://computercops.biz/zx/Merijn/hijackthis1982.zip

det gamle hijackthis.

Hm Ja jeg kunne da komme ind på hjemmesiden, og forsøgte at åbne filen, kort efter blev den lukket ned. Forsøgte at gemme filen og det lykkedes, men jeg kan sgu ikke åbne den. Vinduet lukkes når jeg forsøger.

når du kommer ind i windows kan du ikke prøve at lukke så mange unødvendige processer i joblisten før du prøver at køre programmet?

Det var der desværre hellere ikke nogle damer i....
Same mo

Jeg er løbet tør for ideer så hehe kan du starte op på din cd?

Klik start | kør, skriv cmd og tryk enter.
Skriv
tasklist > a:\tsklist.log
og tryk enter.

(du skal have en diskette i floppy drevet imens)

Lad os se indholdet af a:\tasklist.log, så vi kan se hvilke processer der kører.
Med de symptomer er det en aktiv virus, men de plejer at kunne slås ihjeld.

Nå når jeg gør som beskrevet kommer der en besked om at "tasklist" IKKE genkendes som en intern eller ekstern kommando, operabelt program eller batch fil.

Så der kommer en tom log.

Prøv så lige sådan her istedet:

Skriv
c:\windows\system32\tasklist > a:\tsklist.log
og tryk enter

Prøv at se om den nu kan køre programmet.

Den melder tilbage at den ikke kan finde den specificerede sti.
Har været inden under "task manager" og der er det heller ikke muligt at se de igangværende processer.
Hvilket jeg kunne for kort tid siden...

Kan du køre msconfig eller regedit ?

(Det er ikke helt let dette her) *G*

Og hvilket styresystem kører du ?

Nej det vil jeg give dig ret i *GG*

Hvis de skal skrives i "run" så nej, ms kan den ikke åbne og reg lukkes bare.

win2000

Okay, win2000 har ikke tasklist og msconfig, så det giver forklaringen. Og virus'en sørger for at de andre processer ikekkan køre.
Hvis du kan komme i taskmanageren, evt efter en genstart, så sorter processerne efter brugernavn og luk alt hvad du kan finde under dit eget brugernavn i en fart.

Det bedste ville være hvis du fik den skyldige proces lukket, for så kan du køre HiJackThis og de andre programmer.

Jeg har en anden ide, men den er så radikal at der skal arbejdes lidt på den før jeg tør lægge den. Ideen er at bruge regedit til at slette hele run key'en og derefter genskabe en tom run key både i hlkm og hkcu. Regedit kan efter al sandsynlighed nå at køre så længe at den kan udføre nogle små kommandoer uden brugerinput. Men det kræver at vi først får en backup af de run keys så vi kan genskabe de pæne run keys. Og jeg har ikke tid lige nu. Måske iaften.

Jamen jeg kæmper da bare videre. ;)
Tak for hjælpen, indtil nu...

Hmm.. det er jo lidt nemmere hvis det er lavet i forvejen, så jeg har lånt lidt af et fix der er lavet til en anden type infektion. Jeg har lige afprøvet det på min egen og den laver faktisk den reg-backup som jeg efterlyser.

Man gemmer en tekstfil, ved at åbne notesblok, kopiere teksten over i notesblokken og vælger fil | gem som. Så vælger man i filtype "Alle filer" og skriver navnet i "Filnavn"

Gem teksten mellen de stiplede liner som en tekstfil med navnet reg1.bat og læg den på en diskette.

-------------------
regedit /e HKCURun.reg "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
ren HKCURun.reg HKCURun.txt
regedit /e HKLMRun.reg "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
ren HKLMRun.reg HKLMRun.txt
copy HKLMRun.txt + HKCURun.txt = Output.txt
del /q HKLMRun.txt
del /q HKCURun.txt
copy Output.txt a:\
pause
-------------------

Kopier reg1.bat ind på c:\ drevet.
Grunden til dette er at jeg tror at virus'en kan nå at skyde regedit ned hvis regedit skal skrive til så langsom medie som en floppy.

Dobbeltklik så c:\reg1.bat.
Den vil slutte af med at skrive en fil: output.txt på disketten.
Denne fil skal du kopiere herind.

Her kommer filen så ;)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"LoadQM"="loadqm.exe"
"WpsRePsw"="C:\\WINNT\\System32\\spool\\DRIVERS\\W32X86\\2\\WpsRePsw.EXE"
"SO5 Integrator Pass Two"="C:\\WINNT\\SOINTGR.EXE"
"Vidcap32driver"="Vidcap32.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"Winsock32driver"="win32server.exe"
"MessengerPlus3"="\"C:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe\""
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"DllCacherv2"="C:\\WINNT\\system32\\dllcachev2.exe"
"IPConfig"="svcxnw32.exe"
"mswnvmx32"="explorer"
"DLLDisk32"="vxdsrv.exe -services"
"CAMPDRIVEDOESLITE"="C:\\Documents and Settings\\All Users\\Application Data\\IdolSiteCampDrive\\Metatrans.exe"
"Shell API32"="svcnet.exe"
"ICQ Lite"="C:\\Program Files\\ICQLite\\ICQLite.exe -minimize"

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"MessengerPlus3"="\"C:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe\" /WinStart"
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"jugsprogram"="C:\\DOCUME~1\\LARSER~1\\APPLIC~1\\FRAGIN~1\\Kind Start.exe"
"IPConfig"="svcxnw32.exe"
"DLLDisk32"="vxdsrv.exe -drivers"
"Shell API32"="svcnet.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

Håber at det er hvad du søger.

Bingo, det er præcis hvad jeg håbede på.

Det er backuppen af de 2 run-keys.

Du får instrukser om nogle minutter...

Gem teksten mellen de stiplede liner som en tekstfil med navnet regfix.reg og læg den på en diskette.

----------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"LoadQM"="loadqm.exe"
"WpsRePsw"="C:\\WINNT\\System32\\spool\\DRIVERS\\W32X86\\2\\WpsRePsw.EXE"
"SO5 Integrator Pass Two"="C:\\WINNT\\SOINTGR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"MessengerPlus3"="\"C:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe\""
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"ICQ Lite"="C:\\Program Files\\ICQLite\\ICQLite.exe -minimize"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe"
"MessengerPlus3"="\"C:\\Program Files\\Messenger Plus! 3\\MsgPlus.exe\" /WinStart"
"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

----------------------

Kopier regfix.reg ind på c:\ drevet

Dobbeltklik c:\regfix.reg og sig ja til at tilføje informationen i reg.basen.

Gør det et par gange, og lige efter sidste gang, rykker du fysisk strømstikket ud af computeren, så den slukker.

Tænd den så igen og se om du kan få lavet en HiJackThis log til os.

Jeg bliver ikke spurgt om jeg vil tilføje informationerne....
Den blinker kun kort...

Ja, det virker ski' som om virusen er rimelig smart. Der sker ikke noget når jeg dobbeltklikker på filen.
Jeg kan i hvert fald ikke køre HijackThis endnu, den bliver lukket ned..

Huuuuuuuuulk....

Prøv at lave denne fil og gem den i samme folder som regfix.reg:

regfix.bat
----------------
regedit /s regfix.bat
----------------

Dobbeltklik c:\regfix.bat. (du vil ikke blive spurgt om du vil tilføje om noget og vil ikke kunne se at den er blevet kørt)

Gør det et par gange, og lige efter sidste gang, rykker du fysisk strømstikket ud af computeren, så den slukker.

Tænd den så igen og se om du kan få lavet en HiJackThis log til os.

Når man køre filen, kan man kort se en dos promt og så kommer der en fejlmeddelse, hvorefter programmes lukkes.
Hvis man køre regfix.reg ser man kort en dospromt og derefter en besked. Sikkert det med om man vil tilføje informtioner. Men det hele er der i så kort tid at man ikke kan nå at se en skid.

Men jeg kan stadig ikke få lov at lave en HijackThis log.
Har lavet en SpyDoctor log, ved ikke om sådan en kan hjælpe??

Grokster            multiple     Medium
    Kazaa Promotional Items     multiple     Medium
    Altnet Software     HKCR\AppID\adm.EXE     Elevated
    Altnet Software     HKCR\AppID\Altnet Signing Module.EXE     Elevated
    Altnet Software     HKLM\SOFTWARE\Altnet     Elevated
    Altnet Software     HKLM\SOFTWARE\Altnet\TopSearch     Elevated
    Kazaa Promotional Items     HKCU\Software\Kazaa\Promotions     Medium
    Kazaa Promotional Items     HKCU\Software\Kazaa\Promotions\Broadband     Medium
    Tracking Cookie(s)     lars erik siegfried@revenue[2].txt     Medium
    Tracking Cookie(s)     lars erik siegfried@lop[2].txt     Medium
    Tracking Cookie(s)     lars erik siegfried@atwola[1].txt     Medium
    Tracking Cookie(s)     lars erik siegfried@cgi-bin[1].txt     Medium
    Tracking Cookie(s)     lars erik siegfried@ayb.lop[1].txt     Medium
    Andlotsmore.com dialler C:\WINNT\Downloaded Program Fles\Install.inf     Elevated

Hmm.. det kan jeg ikke rigtigt bruge til noget :(

Kan du komme i fejlsikret tilstand ?
Hvis du kan, så prøv om du kan køre den batfil, eller importere den regfile i fejlsikret tilstand. Og hvis du kan skal vi også have en log fra HiJackThis fra fejlsikret tilstand.

Jeg kan godt komme i fejlsikret tilstand. Men der er ingen forskel i hvad jeg kan og ikke kan, i forhold til når jeg er i den "almindelige" tilstand.
Så reg'erne kan ikke køres og heller ikke HijackThis.

Jeg har lavet en fejl, opdager jeg nu. Filnavnet var da forkert i nedenstående råd. Jeg har rettet det her, så prøv lige igen:


Prøv at lave denne fil og gem den i samme folder som regfix.reg:

regfix.bat
----------------
regedit /s regfix.REG
----------------

Dobbeltklik c:\regfix.bat. (du vil ikke blive spurgt om du vil tilføje om noget og vil ikke kunne se at den er blevet kørt)

Gør det et par gange, og lige efter sidste gang, rykker du fysisk strømstikket ud af computeren, så den slukker.

Tænd den så igen og se om du kan få lavet en HiJackThis log til os.

Nope kan jeg desværre ikke. :(

Virker ikke som om der er sket nogen forandring..

Vi prøver så noget andet, men jeg ER ved at løbe tør for ideer, må jeg indrømme :(

Sæt en skrivbar diskette i floppy drevet.

Lav en ny fil med navnet test.bat (gem den i samme folder som regfix.reg og med følgene indhold:
----------------
regedit /s regfix.REG > regedit.log
reg import regfix.REG > reg.log
copy regedit.log a:\
copy reg.log a:\
pause
----------------

Du skulle gerne få outputtet fra de 2 kommandoer over på disketten nu og det output vil jeg gerne se. Måske det kan give svaret på hvad det er der går galt, for det skulle altså virke.
Så kopier indholdet af a:\regedit.log og a:\reg.log herind når du har forsøgt at køre test.bat.

tonnybrandt -> Hvad med et forsøg med mwav scanneren??

arlet > Jeg mente ikke at maskinen ville kunne downloade mwav-scanneren, så derfor har jeg ikke foreslået det, men du har ret. Det kan jo være at den slipper igennem *s*

Scanneren som Arlet snakker om er denne: http://www.spywareinfo.dk/download/mwav.exe
Prøv om du kan downloade den, og lykkes det, så lav en fuld scanning med den i fejlsikret tilstand.

Jeg kunne godt få lov til at downloade scanneren, men programet når knapt at åbne før det lukkes ned...

Det andet program giver tomme logs.
Følgende skrives i promten.

C:\reg>regedit /s regfix.REG 1>regedit.log
C:\reg>reg import regfix.REG 1>reg.log
'reg' is not reconized as an internal or external command,
operabel program or batch file.

C:\reg>copy regedit.log a:\
    1 file(s) copied.

C:\reg>copy reg.log a:\
    1 file(s) copied.

C:\reg>pause
Press any key to continue . . .

Jeg mangler indholdet af denne fil:
a:\regedit.log

Den anden kan det være ligyldigt med. Havde lige glemt at det var en 2000'er hvor reg programmet ikke findes.

Desværre er loggen tom :(

Du kan prøve en repair, men jeg er meget i tvivl om det vil hjælpe noget:
http://www.hcma.dk/tips&tricks.htm#install_repair

Andre ting du kan prøve er at pille harddisken ud og sætte den som slave i en anden maskine og scanne den for virus fra den anden maskine.

Sorry, så er jeg vist også tom for ideer.

Det er bare ok.
Du skal i hvert fald have rigtig mange tak, for hvad du har gjort.
Men hvis du får en ide eller to i løbet af weekenden såååå ;)

ruske1>>

Det lidt kedeligt måske.. men kunne du trykke Ctrl+alt+delete og skrive navnene på alle de processer der kører herinde? er røget lidt ud af samtalen herinde men kiggede indlægene igennem og kunne i se det blevet foreslået.

Jep og det var desværre ikke muligt.. *S*

Hent ramcleaner

http://www.soft32.com/download_18365.html

nu håber jeg det kan køre... og håber det er den rigtige jeg har fat i hehe.. men der kan du få adgang til processerne hvis du kan få den til at køre

Hej kalp.

Det virkede ski'.
så her kommer de processer der køre på pc'en.

Process        Priority    Threads        ID

System        Normal        36        8
SMSS.exe    11        6        94
CSRSS.EXE    High        9        AC
WINLOGON.EXE    High        18        C0
Services.EXE    9        31        DC
LSASS.EXE    9        18        E8
svchost.exe    Normal        10        234
WinMgmt.exe    Normal        4        294
explorer.exe    High        14        2F0
vxdsrv.exe    Normal        5        2F8
sointgr.exe    Normal        1        378
MsgPlus.exe    Normal        1        39C
winampa.exe    Normal        1        3B4
ICQLite.exe    Normal        14        3BC
inerrnat.exe    Normal        1        3D4
Skype.exe    Normal        11        3E4
WinCinema    Normal        1        3C0
msnmsgr.exe    Normal        6        3CC
IEXPLORER.EXE    Normal        4        3A8
IEXPLORER.EXE    Normal        15        348
WpsC3Psw.EXE    Normal        6        53C
IEXPLORER.EXE    Normal        28        428
MSIMN.EXE    Normal        13        598
RamCleaner    Normal        1        638

Er helt spændt *GG*

ahh.. der har vi sgu noget:O) ser lgie alt igennem!! to sek!

hihi der er jo virus her:) jeg siger lige hvad der skal slettes!!

Slet og hvis Tonny lige kan komme med sit bidrag til det her vil det være godt før du sletter! men dette er hvad jeg mener skal væk!

vxdsrv.exe
inerrnat.exe

afinstaller MsgPlus.exe

ahh du kan jo faktisk gøre det lidt lettere.. søg efter de pågældende filer og fortæl hvor de placeret.. sikkert i windows folderen men alligevel. Når vi sletter dem må vi håbe hjt kan køre:)

Starter lige med at afinstallerer MsgPlus,
og venter så lige med de to andre oki?

den ene er 100% virus men denne er jeg usikker på vxdsrv.exe for kender den ikke.. men hvis du siger mig hvor den ligger behøver jeg måske ikke kende den;)

Jeg fandt vxdrsv.exe i
C:/WINNT/SYSTEM32

Der skal den ikke være:) den skal slet ikke være der..

I fejlsikret tilstand slet de 2 filer... måske skal du lige i ramcleaner stoppe processerne før du sletter den. Når du har gjort det prøv at køre hijackthis

Foruden dem kalp nævner så hæfter jeg mig ved disse:

IEXPLORER.EXE    Normal        4        3A8
IEXPLORER.EXE    Normal        15        348
IEXPLORER.EXE    Normal        28        428

Mig bekendt hedder den rigtige internet explorer IEXPLORE.EXE, altså uden R tilsidst.
Der er flere forskellige vira der har filer med IEXPLORER.EXE navnet, så lav en søgning efter den.
(Pas på du ikke sletter den ægte Internet explorer, uden R'et tilsidst)

inerrnat.exe er enetn godt gemt eller så forsvandt den da jeg afinstallerede MsgPlus

De tre eksplore er faktisk uden r til sidst, min felj men den
her er med explorer.exe    High        14        2F0

IEXPLORER.EXE

med er er da virus??

og explorer.exe skal være med r!

hov.. lidt dårlig stavning kan jeg se..

IEXPLORER.EXE

snavs

IEXPLORE.EXE

ikke snavs

EXPLORER.EXE

snavs

IEXPLORE.EXE

ikke snavs

eller hvad tonny? :) bliver forvirret nu:) (sikkert meningen med den;))

Explorer.exe er ok.

Prøv at skrive dem alle igen, men denne gang vær 100% sikker på at de er stavet rigtigt !

en fejl i det jeg lige skrev selvfølgelig..

IEXPLORE.EXE er ikke snavs
IEXPLORER.EXE er snavns!

EXPLORER.EXE er ikke snavs
EXPLORE.EXE er snavs

Process        Priority    Threads        ID

System        Normal        36        8
SMSS.exe    11        6        94
CSRSS.EXE    High        9        AC
WINLOGON.EXE    High        18        C0
Services.EXE    9        31        DC
LSASS.EXE    9        18        E8
svchost.exe    Normal        10        234
WinMgmt.exe    Normal        4        294
explorer.exe    High        14        2F0
vxdsrv.exe    Normal        5        2F8
sointgr.exe    Normal        1        378
MsgPlus.exe    Normal        1        39C
winampa.exe    Normal        1        3B4
ICQLite.exe    Normal        14        3BC
inerrnat.exe    Normal        1        3D4
Skype.exe    Normal        11        3E4
WinCinema    Normal        1        3C0
msnmsgr.exe    Normal        6        3CC
IEXPLORE.EXE    Normal        4        3A8
IEXPLORE.EXE    Normal        15        348
WpsC3Psw.EXE    Normal        6        53C
IEXPLORE.EXE    Normal        28        428
MSIMN.EXE    Normal        13        598
RamCleaner    Normal        1        638.


Har startet pc'en i fejlsikret tilstand og der ser det således ud

Process        Priority    Threads        ID

System        Normal        36        8
SMSS.exe    11        6        94
CSRSS.EXE    High        9        AC
WINLOGON.EXE    High        18        C0
Services.EXE    9        31        DC
LSASS.EXE    9        18        E8
svchost.exe    Normal        10        234
WinMgmt.exe    Normal        4        294
explorer.exe    High        14        2F0
vxdsrv.exe    Normal        5        2F8
RamCleaner    Normal        1        638

hmm.. hvis du har husket det hele denne gang så kan jeg ikke se de fejler noget.. Det kan være Tonny mener noget andet. Og at denne kører i fejlsikret også vxdsrv.exe kan måske være årsagen til du ikke kan køre hijackthis

Da jeg afsluttede vxdsrv.exe kunne jeg køre HijackThis, så her kommer loggen ;)

Logfile of HijackThis v1.99.0
Scan saved at 10:49:54, on 14-02-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\RamCleaner\RamCleaner.exe
C:\Program Files\HijackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ghketvzbja.uk/d0NLjITeZi/tVnZpzPRA1uiwasdNk_aj7lIAPuO0_ekil66kaV6pP3mQpy8F9XSy.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bold.dk/
F2 - REG:system.ini: Shell=Explorer.exe,vxdsrv.exe -shell
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_2/home.html"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
O1 - Hosts: 127.231.133.187 www.symantec.com
O1 - Hosts: 127.179.230.116 securityresponse.symantec.com
O1 - Hosts: 127.12.40.142 symantec.com
O1 - Hosts: 127.140.85.184 www.mcafee.com
O1 - Hosts: 127.42.32.240 mcafee.com
O1 - Hosts: 127.89.5.41 us.mcafee.com
O1 - Hosts: 127.204.132.80 www.sophos.com
O1 - Hosts: 127.70.84.186 sophos.com
O1 - Hosts: 127.66.195.92 www.viruslist.com
O1 - Hosts: 127.167.66.155 viruslist.com
O1 - Hosts: 127.140.216.24 f-secure.com
O1 - Hosts: 127.96.123.7 www.f-secure.com
O1 - Hosts: 127.169.1.33 kaspersky.com
O1 - Hosts: 127.105.84.200 www.avp.com
O1 - Hosts: 127.184.57.175 www.kaspersky.com
O1 - Hosts: 127.22.220.86 avp.com
O1 - Hosts: 127.117.225.53 www.networkassociates.com
O1 - Hosts: 127.41.91.223 networkassociates.com
O1 - Hosts: 127.247.86.170 www.ca.com
O1 - Hosts: 127.224.201.155 ca.com
O1 - Hosts: 127.178.112.228 my-etrust.com
O1 - Hosts: 127.118.36.45 www.my-etrust.com
O1 - Hosts: 127.47.27.139 secure.nai.com
O1 - Hosts: 127.216.181.20 nai.com
O1 - Hosts: 127.254.136.139 www.nai.com
O1 - Hosts: 127.116.157.71 trendmicro.com
O1 - Hosts: 127.191.166.24 www.trendmicro.com
O1 - Hosts: 127.109.74.153 housecall.trendmicro.com
O1 - Hosts: 127.101.226.147 www.pandasoftware.com
O1 - Hosts: 127.164.150.121 www.bitdefender.com
O1 - Hosts: 127.248.105.250 www.ravantivirus.com
O1 - Hosts: 127.73.202.36 www3.ca.com
O1 - Hosts: 127.126.90.171 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.244.186.110 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.220.160.152 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.127.170.158 windowsupdate.microsoft.com
O1 - Hosts: 127.197.129.73 www.windowsupdate.com
O1 - Hosts: 127.9.204.31 windowsupdate.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {FFA30DBE-DA84-FEA0-DA38-77B0719856DD} - C:\DOCUME~1\LARSER~1\APPLIC~1\WAITME~1\BEEPCHIN.exe
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DLLDisk32] vxdsrv.exe -services
O4 - HKLM\..\RunServices: [DLLDisk32] vxdsrv.exe -services
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINNT\system32\cmd.exe /C "C:\DOCUME~1\LARSER~1\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DLLDisk32] vxdsrv.exe -drivers
O4 - HKCU\..\Run: [jugsprogram] C:\DOCUME~1\LARSER~1\APPLIC~1\FRAGIN~1\Kind Start.exe
O4 - HKCU\..\Run: [RamCleaner] C:\Program Files\RamCleaner\RamCleaner.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .asp: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Napper du den kalp ? Jeg er på arbejde og har kun tid til "små bemærkninger" *s*

*G* okay det gør jeg så:) og endelig er vi kommet videre!

ruske1 vi tager den i første omgang i fejlsikret for en sikkerhedsskyld.. men når det er klaret tager vi den også i normal

Det er da bare fjong. ;)

Download og gem denne scanner på skrivebordet. (Hvis du kan)
http://www.spywareinfo.dk/download/mwav.exe

Sæt et flueben ud for disse linjer i hijackthis - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ghketvzbja.uk/d0NLjITeZi/tVnZpzPRA1uiwasdNk_aj7lIAPuO0_ekil66kaV6pP3mQpy8F9XSy.html
F2 - REG:system.ini: Shell=Explorer.exe,vxdsrv.exe -shell
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe

Vi fikser disse linjer fordi det alligevel ikke kan skade, men fordi jeg ikke kender deres IP.. så det lettest.

O1 - Hosts: 127.231.133.187 www.symantec.com
O1 - Hosts: 127.179.230.116 securityresponse.symantec.com
O1 - Hosts: 127.12.40.142 symantec.com
O1 - Hosts: 127.140.85.184 www.mcafee.com
O1 - Hosts: 127.42.32.240 mcafee.com
O1 - Hosts: 127.89.5.41 us.mcafee.com
O1 - Hosts: 127.204.132.80 www.sophos.com
O1 - Hosts: 127.70.84.186 sophos.com
O1 - Hosts: 127.66.195.92 www.viruslist.com
O1 - Hosts: 127.167.66.155 viruslist.com
O1 - Hosts: 127.140.216.24 f-secure.com
O1 - Hosts: 127.96.123.7 www.f-secure.com
O1 - Hosts: 127.169.1.33 kaspersky.com
O1 - Hosts: 127.105.84.200 www.avp.com
O1 - Hosts: 127.184.57.175 www.kaspersky.com
O1 - Hosts: 127.22.220.86 avp.com
O1 - Hosts: 127.117.225.53 www.networkassociates.com
O1 - Hosts: 127.41.91.223 networkassociates.com
O1 - Hosts: 127.247.86.170 www.ca.com
O1 - Hosts: 127.224.201.155 ca.com
O1 - Hosts: 127.178.112.228 my-etrust.com
O1 - Hosts: 127.118.36.45 www.my-etrust.com
O1 - Hosts: 127.47.27.139 secure.nai.com
O1 - Hosts: 127.216.181.20 nai.com
O1 - Hosts: 127.254.136.139 www.nai.com
O1 - Hosts: 127.116.157.71 trendmicro.com
O1 - Hosts: 127.191.166.24 www.trendmicro.com
O1 - Hosts: 127.109.74.153 housecall.trendmicro.com
O1 - Hosts: 127.101.226.147 www.pandasoftware.com
O1 - Hosts: 127.164.150.121 www.bitdefender.com
O1 - Hosts: 127.248.105.250 www.ravantivirus.com
O1 - Hosts: 127.73.202.36 www3.ca.com
O1 - Hosts: 127.126.90.171 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.244.186.110 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.220.160.152 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.127.170.158 windowsupdate.microsoft.com
O1 - Hosts: 127.197.129.73 www.windowsupdate.com
O1 - Hosts: 127.9.204.31 windowsupdate.com
O2 - BHO: (no name) - {FFA30DBE-DA84-FEA0-DA38-77B0719856DD} - C:\DOCUME~1\LARSER~1\APPLIC~1\WAITME~1\BEEPCHIN.exe
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [DLLDisk32] vxdsrv.exe -services
O4 - HKLM\..\RunServices: [DLLDisk32] vxdsrv.exe -services
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINNT\system32\cmd.exe /C "C:\DOCUME~1\LARSER~1\LOCALS~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [DLLDisk32] vxdsrv.exe -drivers
O4 - HKCU\..\Run: [jugsprogram] C:\DOCUME~1\LARSER~1\APPLIC~1\FRAGIN~1\Kind Start.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

Find og slet

Disse filer

find og slet "vxdsrv.exe"

Disse mapper

C:\DOCUME~1\LARSER~1\APPLIC~1\WAITME~1\
C:\DOCUME~1\LARSER~1\APPLIC~1\FRAGIN~1\

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Genstart normalt og smid en ny log fil herind.. så tager vi det igen herfra hvis der skulle være mere:)

Når du skriver "alt den finder" mener du så ALT også filer i fx HijackThis og andre ligninde programmer?
Eller er det bare det programmet selv sletter?

nej nej!! kun alt mwav.exe finder:) det som du skal fikse i hijackthis har jeg jo skrevet ovenover:)

Det jeg mente var at mwav finder en masse, som den ikke selv sletter. Fx et par filer i HijackThis programmet.

slet alt .. og når den er færdig kan smide den log ind mwav kommer  med for en sikkerhedsskyld:)

Fuck, der er nok arbejde til resten af ugen. *GG*

nej nej overhovedet ikke:) din log er slet ikke så slem (i fejlsikret i hvertfald) som man skulle have troet den ville være. Og efter du har kørt proceduren så burde du i det mindste kunne arbejde meget mere fornuftigt med din computer:)

File C:\Documents and Settings\All Users\Application Data\IdolSiteCampDrive\Metatrans.exe tagged as not-a-virus:AdWare.Lop.j. No Action Taken.
File C:\Documents and Settings\All Users\Application Data\IdolSiteCampDrive\pure send.exe tagged as not-a-virus:AdWare.Lop.j. No Action Taken.
File C:\Documents and Settings\Lars Erik Siegfried\Local Settings\Temp\ldydxhws.exe tagged as not-a-virus:AdWare.Lop.k. No Action Taken.
File C:\Documents and Settings\Lars Erik Siegfried\Local Settings\Temp\xwqvkorh.exe tagged as not-a-virus:AdWare.Lop.k. No Action Taken.

Det er havd der er tilbage ;)

Mener godt at det kan slettes uden problemer, men tjekker lige med dig ;)
File C:\Program Files\Common Files\rllppslb\atflodqq\dqdmadde.exe tagged as not-a-virus:AdWare.Gator.a. No Action Taken.
File C:\Program Files\Common Files\rllppslb\rsalmupdtu\ufdoacbnq.exe tagged as not-a-virus:AdWare.Gator.a. No Action Taken.
File C:\RECYCLER\S-1-5-21-746137067-1563985344-1343024091-1000\Dc858.exe tagged as not-a-virus:AdWare.Lop.k. No Action Taken.
File C:\RECYCLER\S-1-5-21-746137067-1563985344-1343024091-1000\Dc862.exe tagged as not-a-virus:AdWare.Lop.k. No Action Taken.
File C:\unzipped\DivX Pack - 5.0.2 Pro Bundle + KeyGen, Nimo Codec Pack 5.08, XViD Codec, VirtualDub, GSpot, BSPlayer etc\DivX Pro 502 Including KG.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\unzipped\DivX Pack - 5.0.2 Pro Bundle + KeyGen, Nimo Codec Pack 5.08, XViD Codec, VirtualDub, GSpot, BSPlayer etc\DivXPro502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Det kan det og det gør du bare! :)

Oki, her er så HijackThis loggen (kørt i alm. tilstand)

Logfile of HijackThis v1.99.0
Scan saved at 13:42:21, on 14-02-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\RamCleaner\RamCleaner.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\HijackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bold.dk/
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_2/home.html"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RamCleaner] C:\Program Files\RamCleaner\RamCleaner.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .asp: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Genstart i fejlsikret og fiks denne

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

genstart normalt..og ny log;) vi er ved at være der:=)

Novra ;)

Logfile of HijackThis v1.99.0
Scan saved at 13:54:39, on 14-02-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\RamCleaner\RamCleaner.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\HijackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bold.dk/
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_2/home.html"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Lars Erik Siegfried\Application Data\Mozilla\Profiles\default\wm41ttfo.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINNT\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RamCleaner] C:\Program Files\RamCleaner\RamCleaner.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .asp: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

ruske1 hvordan kører din pc nu? den er ren! ser nemlig ud til det lykkedes:o)

Den køre fino, hurtigere end længe og ingen problemer, hvad jeg kan se. ;))))

De dersens point, de var jo lidt sølle i forhold til den indsats du og tonny har leveret. Er det muligt at kaste nogle ekstra point i puljen??

Der er en funktion som hedder "Afsæt flere point" finder du under "Dine data" og "Spørgsmål data" oppe til venstre. :) Jeg ligger et svar og så venter vi lige på Tonnys:)

Det så sort ud, men det lykkedes! Det er jeg da glad for:o)

Ja, vil jo også gerne belønne tonny for hans store arbejde.

Hvis jeg accepterer dit svar bliver der så point til tonny??

I skal i hvert fald have en kæmpe tak for hjælpen begge to. *SS*

ja det også derfor jeg siger du skal vente på Tonny ligger et svar:) for ellers kan du ikke dele:) og selv tak.. det var ligefør det var sjovt *G*

Oki, jeg venter til at han har lagt et svar. ;)
Og ja at løse svære problemer er sgu sjovt, især når det lykkes (ellers er det sgu pisse irriterende *GG*)

Her kommer svaret :)

(Godt gået kalp, mht at finde det program. Det var lige det der skulle til)

Tak Tonny:) og godt gået til det program.. det har for en gangs skyld været med til en løsning her på E *G*: )

Tak for point:)

Takker for point :)

Mig der takker for den STORE hjælp. *SS*

Hej.
Bare en kommentar... I er Fandeme dygtige drenge...og piger.
Godt gået, endnu engang...