endnu en hjt-log nogen der vil kigge på den

Jeg kigger lige på den ..

lyder godt :-)

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.


Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/1212.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/1212.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/1212.htm
O4 - HKLM\..\Run: [hiden.exe] hiden.exe
O21 - SSODL: MSMserv - {6A1FCCF2-C09A-4534-A8FE-76F8939CC278} - C:\WINDOWS\System32\cmpbptif.dll
O23 - Service: Working Network Connections - Unknown - C:\WINDOWS\System32\hicom.exe

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
c:\programmer\180solutions

Filer:
C:\WINDOWS\System32\hiden.exe
C:\WINDOWS\System32\cmpbptif.dll
C:\WINDOWS\System32\hicom.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

oki takker, går i krig *S*

Ups.
Denne linie kom med ved en fejl: c:\programmer\180solutions

Der er ingen mapper der skal slettes, kun filer.

så back...grrrr *S*..troede lige jeg var ved at være færdig..MEN..det er den bestemt ikke *S*

fik gjort som du skrev...da jeg søgte på din 'ups'..ja den var der ikke...da jeg søgte på  -->hicom.exe fandt den også denne her-->hicom.exe-2fec750D.pf (gjorde intet..men det skal  jeg vist gøre)

da kasparsky scannede og var næsten færdig havde den  slettet en virus og renamed en....men så gik skærmen i sort.....med et lille'bum'.....og jeg kunne intet andet end slukke for maskinen og genstarte..sg poppede op og fortalte om at start side var ændret osv...scannede med hjt-og ville gå herind...men så overtog den der search ting igen styringen...og min virus  ting  fandt to trojanere og satte dem i karantæne

så nu er jeg ret spændt på hva du siger til den nye log --->Logfile of HijackThis v1.99.0
Scan saved at 12:20:01, on 07-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NYMSE.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NIP.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\npfmsg2.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis  ny\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O23 - Service: Norman API-hooking helper - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hmm.. du får et fix om lidt. Det er en af de stygge. Du har en haxdor virus inde.

ja..har set haxdor navnet...lyder foruroligende...p.s sg=spyware guard

ved ikk om det hjælper  noget at fortælle at den kom ind via en KÆMPE risk-spil fil..hvor jeg udpakkede en fil på 48mb...som blev til en fil på o.9gb....dem var der i alt  10-11 af...men smed det hele ud..men forsent *S*

Ok, jeg har lavet et fix tidligere til den, så lad os prøve om ikke det fix virker til din også.

Man gemmer en tekstfil, ved at åbne notesblok, kopiere teksten over i notesblokken og vælger fil | gem som. Så vælger man i filtype "Alle filer" og skriver navnet i "Filnavn"

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-
-------------------------------------

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.bat og læg den på dit skrivebord.

------------------------------------

attrib -h -r -s c:\windows\system32\mszx23.exe
attrib -h -r -s c:\windows\system32\w32tm.exe
attrib -h -r -s c:\windows\system32\drct16.dll
attrib -h -r -s c:\windows\system32\cz.dll
attrib -h -r -s c:\windows\system32\vdmt16.sys
attrib -h -r -s c:\windows\system32\hz.dll
attrib -h -r -s c:\windows\system32\winlow.sys
attrib -h -r -s c:\windows\system32\wz.dll
attrib -h -r -s c:\windows\system32\p2.ini


del /f c:\windows\system32\mszx23.exe
del /f c:\windows\system32\w32tm.exe
del /f c:\windows\system32\drct16.dll
del /f c:\windows\system32\cz.dll
del /f c:\windows\system32\vdmt16.sys
del /f c:\windows\system32\hz.dll
del /f c:\windows\system32\winlow.sys
del /f c:\windows\system32\wz.dll
del /f c:\windows\system32\p2.ini


pause
------------------------------------

Hent Stinger her:
http://vil.nai.com/vil/stinger/


Genstart i fejlsikret tilstand.

Klik start | kør, skriv regedit og tryk enter.
Find denne nøgle i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT

Klik ROOT så den er markeret.
Klik Rediger | Tilladelser.
Marker "Alle" og sæt kryds i Tillad i "Fuld kontrol".
Klik knappen Avanceret, og sæt kryds i den nederste: "Erstat tilladelsesposter på alle underobj......"
Klik Anvend og ok
Og igen Anvend og ok.

Luk regedit.

Dobbeltklik på remove.reg og sig ja til at tilføje værdierne i registreringsdatabasen.

Dobbeltklik på remove.bat.

Kør stinger som du hentede tidligere.

Genstart igen i fejlsikret tilstand og gentag hele proceduren. Grunden er den at en enkelt fil kan være låst, men den burde nu være låst op da registry-nøglen blev fjernet første gang.

Genstart i normal tilstand og kom med en ny log.

Obs!!! når du laver den nye log, skal du have mindst 1 stifinder eller internet explorer åben imens, da jeg ellers ikke kan se om den er væk.

ok nu er det så jeg liiige indrømmer jeg er amatør her på maskinen...så skal have  de her trin skåret lidt ud i pap...men begynder langsomt...gemmer først den tekst i det øverste...så vender jeg lige tilbage

Print evt hele vejledningen ud eller gem den på skrivebordet som en tekstfil, så du stadig kan se den når du er i fejlsikret tilstand.

Og ellers skulle du nemt kunne komme igennem proceduren ved blot at følge den slavisk. Det hele skulle være beskrevet.

pinligt det her : når jeg klikker åbn notesblok....så sker der ikke noget...hvordan får jeg teksten her ind i notesblokken ?

Prøv i så fald at klikke start | kør, skriv notepad og tryk enter.

Åbner notesblok ?

ja nu kom den frem

har fået gemt de to filer på skrivebord nu...går videre

neeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeei (troede lige igen igen) *S*

fik fulgt det hele slavisk ...gik godt ellers

skal lige høre : der stod også ordet 'pause'...indn for de stiplede linier...det kopierede jeg IKKE over i 'remove.reg.' mappen...skulle jeg mon  ha gjort det....

nå men...da jeg  gik herind efter hele  molevitten var overstået...så tog den der startside-ting over igen...og på samme tid fandt min  norman virus 2 trojanere....

her er den nye log med  vinduet hertil eksperten åbent : Logfile of HijackThis v1.99.0
Scan saved at 13:49:53, on 07-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\cisvc.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NYMSE.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NIP.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\npfmsg2.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\cclaw.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis  ny\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O23 - Service: Norman API-hooking helper - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

sludder...remove.bat mappen

den der 03 toolbar og radio...den er vist lige til lossepladsen....he he....sidder vist bare og bander og griber efter halmstrå *S*

Den grimme linie er denne:
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!

Prøv lige at genstarte i fejlsikret tilstand og lav en HiJackThis log. Nogle gange viser der sig noget i fejlsikret som ikke kan ses i normal tilstand.

skal jeg fikse den linie  du skrev først...eller bare sende en ny log fra fejl sikret (så ka jeg vel ikk have et explorer vindue åbent)

Du skal/kan ikke fixe linien, da den er dynamisk og blot laves igen. Jeg har et andet fix til problemet men det er ikke særligt "pænt", så jeg ville gerne finde årsagen. Derfor skal du nøjes med at lave den log i fejlsikret tilstand så jeg kan se om der dukker noget nyt op.

jep ok...den lavede samme nummer nu her hvor jeg loggede  på experten igen med to trojanere osv start-side skift....men her er loggen fra fejlsikret : Logfile of HijackThis v1.99.0
Scan saved at 14:15:44, on 07-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis  ny\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O23 - Service: Norman API-hooking helper - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

lige  en oplysning :  da jeg scannede med 'stinger'...så jeg efter anden scanning at den var auto-opsat til at 'repair'....og ikke til at delete...

..o..O..( hvordan mon ordet 'pænt' skal læses)

Jeg afprøver lige et par værtøjer først, og så skal du nok få det "ikke pæne" fix som virkede i et tidligere spørgsmål.

Download denne:
http://forums.skads.org/index.php?act=Attach&type=post&id=83
Udpak den til en folder.

Genstart i fejlsikret tilstand.
Gå så ind i folderen og dobbeltklik remv3.bat.
Der laves en log og den vil jeg gerne se.

(Spørger den om den må slette filer, skal du svare ja, og ligeledes hvis den spørger om den må tilføje noget i reg.basen skal du svare ja)

Ikke pæn er når du ikke fixer roden til problemet, men kun forhindrer at den går i udbrud *s*

Og endnu et værktøj der skal afprøves.
http://www.fbeej.dk/Programmer/HaxSlet.zip

Det foregår på samme måde som det forrige.
Udpak den til en folder, gå i fejlsikret tilstand, og kør den udpakkede fil.

Kopier den log der kommer ud af programmet herind.

(jeg er først online igen engang iaften)

ærgerligt du må gå..der var et problem..

damn..har netop skrevet en lang smøre to gange...og så kunne den ikke sende...prøver igen....jeg dobbeltklikkede på: remv3.bat.....den søgte 4-5 min....så kom beskeden : notepad.exe blev ikke fundet...dette program osv.....jeg kunne vælge at annullere  sige ok eller gennemse....annullerede..og kassen forsvandt...og hva gør jeg så nu?

nå men ka bruge tiden på at præcisere...den besked jeg fik sagde ordret: notepad.exe blev ikke fundet......dette program skal bruges til at åbne filer af typen tekstdokument.......skriv navnet på den eksekverbare fil, der skal bruges i...og så  et lille rum til at skrive en komande  /sti i...det  eneste der stod i forvejen var C:\    under neden 3 valgmuligheder : 'ok' ...'annullere'...'gennemse'...jeg trykkede annuller..og  dos-kassen forsvandt....så hva gør jeg  nu ?

mens jeg skrev dette...spurgte min firewall om jeg ville tillade'horseserver' adgang til nettet...sagde bare nej...og der kom ingen lange regler med porte..denne session osv....kun nej og ikke mere....sådan plejer det IKKE at foregå

jeg foretager mig ikke yderligere før jeg  hører  ang. det problem med notepad...

forsøgte lige med haxslet...samme resultat.........(havde ellers klikket start->kør->notepad inden og fået den frem på bundlinien...men...ingen notepad.exe stadig...

Lige indtil Tonnybrandt er tilbage:

Prøv først at køre remv3.bat-programmet igen. Når programmet har kørt færdig (og du har afsluttet det i forlængelse af fejlmeldingen) finder du (vha stifinder) filen c:\log.txt. Kopiér indholdet af denne fil ind i denne tråd (ved at dobbeltklikke på filen, vil Notepad blive opstartet, og du kan copy/paste).

Herefter: Kør haxslet-programmet. Når programmet har kørt færdig (og du har afsluttet det i forlængelse af fejlmeldingen) finder du igen (vha stifinder) filen c:\log.txt. Kopiér indholdet af denne fil ind i denne tråd.

Så ligger loggene klar til når Tonnybrandt vender tilbage.

oki...tak...vil jeg gøre

puuuuuh..ved ikk  om det her er rigtigt..men tror det...her følger først log af remv3.bat-->C:\WINDOWS\system32>if exist servises.exe echo servises.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd tasknngr.exe

C:\WINDOWS\system32>set def=tasknngr.exe

C:\WINDOWS\system32>if exist tasknngr.exe echo tasknngr.exe 1>>c:\files.txt

C:\WINDOWS\system32>del tasknngr.exe
C:\WINDOWS\system32\tasknngr.exe blev ikke fundet.

C:\WINDOWS\system32>if exist tasknngr.exe echo tasknngr.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd rpcnt4.dll

C:\WINDOWS\system32>set def=rpcnt4.dll

C:\WINDOWS\system32>if exist rpcnt4.dll echo rpcnt4.dll 1>>c:\files.txt

C:\WINDOWS\system32>del rpcnt4.dll
C:\WINDOWS\system32\rpcnt4.dll blev ikke fundet.

C:\WINDOWS\system32>if exist rpcnt4.dll echo rpcnt4.dll 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd tksvr99.exe

C:\WINDOWS\system32>set def=tksvr99.exe

C:\WINDOWS\system32>if exist tksvr99.exe echo tksvr99.exe 1>>c:\files.txt

C:\WINDOWS\system32>del tksvr99.exe
C:\WINDOWS\system32\tksvr99.exe blev ikke fundet.

C:\WINDOWS\system32>if exist tksvr99.exe echo tksvr99.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd w32sxp.exe

C:\WINDOWS\system32>set def=w32sxp.exe

C:\WINDOWS\system32>if exist w32sxp.exe echo w32sxp.exe 1>>c:\files.txt

C:\WINDOWS\system32>del w32sxp.exe
C:\WINDOWS\system32\w32sxp.exe blev ikke fundet.

C:\WINDOWS\system32>if exist w32sxp.exe echo w32sxp.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd wncust.exe

C:\WINDOWS\system32>set def=wncust.exe

C:\WINDOWS\system32>if exist wncust.exe echo wncust.exe 1>>c:\files.txt

C:\WINDOWS\system32>del wncust.exe
C:\WINDOWS\system32\wncust.exe blev ikke fundet.

C:\WINDOWS\system32>if exist wncust.exe echo wncust.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd tlntadmnx.exe

C:\WINDOWS\system32>set def=tlntadmnx.exe

C:\WINDOWS\system32>if exist tlntadmnx.exe echo tlntadmnx.exe 1>>c:\files.txt

C:\WINDOWS\system32>del tlntadmnx.exe
C:\WINDOWS\system32\tlntadmnx.exe blev ikke fundet.

C:\WINDOWS\system32>if exist tlntadmnx.exe echo tlntadmnx.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd vwipxspnt.exe

C:\WINDOWS\system32>set def=vwipxspnt.exe

C:\WINDOWS\system32>if exist vwipxspnt.exe echo vwipxspnt.exe 1>>c:\files.txt

C:\WINDOWS\system32>del vwipxspnt.exe
C:\WINDOWS\system32\vwipxspnt.exe blev ikke fundet.

C:\WINDOWS\system32>if exist vwipxspnt.exe echo vwipxspnt.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd winmsdc.exe

C:\WINDOWS\system32>set def=winmsdc.exe

C:\WINDOWS\system32>if exist winmsdc.exe echo winmsdc.exe 1>>c:\files.txt

C:\WINDOWS\system32>del winmsdc.exe
C:\WINDOWS\system32\winmsdc.exe blev ikke fundet.

C:\WINDOWS\system32>if exist winmsdc.exe echo winmsdc.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd usrshutd.exe

C:\WINDOWS\system32>set def=usrshutd.exe

C:\WINDOWS\system32>if exist usrshutd.exe echo usrshutd.exe 1>>c:\files.txt

C:\WINDOWS\system32>del usrshutd.exe
C:\WINDOWS\system32\usrshutd.exe blev ikke fundet.

C:\WINDOWS\system32>if exist usrshutd.exe echo usrshutd.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd tcpsvcss.exe

C:\WINDOWS\system32>set def=tcpsvcss.exe

C:\WINDOWS\system32>if exist tcpsvcss.exe echo tcpsvcss.exe 1>>c:\files.txt

C:\WINDOWS\system32>del tcpsvcss.exe
C:\WINDOWS\system32\tcpsvcss.exe blev ikke fundet.

C:\WINDOWS\system32>if exist tcpsvcss.exe echo tcpsvcss.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd ms_update.exe

C:\WINDOWS\system32>set def=ms_update.exe

C:\WINDOWS\system32>if exist ms_update.exe echo ms_update.exe 1>>c:\files.txt

C:\WINDOWS\system32>del ms_update.exe
C:\WINDOWS\system32\ms_update.exe blev ikke fundet.

C:\WINDOWS\system32>if exist ms_update.exe echo ms_update.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>Call :dispd wmplayer.exe

C:\WINDOWS\system32>set def=wmplayer.exe

C:\WINDOWS\system32>if exist wmplayer.exe echo wmplayer.exe 1>>c:\files.txt

C:\WINDOWS\system32>del wmplayer.exe
C:\WINDOWS\system32\wmplayer.exe blev ikke fundet.

C:\WINDOWS\system32>if exist wmplayer.exe echo wmplayer.exe 1>>c:\notdel.txt

C:\WINDOWS\system32>GOTO:EOF

C:\WINDOWS\system32>goto cont2

C:\WINDOWS\system32>echo.1>>c:\log.txt

C:\WINDOWS\system32>echo Files Found................. 1>>c:\log.txt

C:\WINDOWS\system32>echo ---------------------------------------- 1>>c:\log.txt


C:\WINDOWS\system32>type c:\files.txt 1>>c:\log.txt
Den angivne fil blev ikke fundet.

C:\WINDOWS\system32>echo.1>>c:\log.txt

C:\WINDOWS\system32>echo Files Not deleted................. 1>>c:\log.txt

C:\WINDOWS\system32>echo ---------------------------------------- 1>>c:\log.txt


C:\WINDOWS\system32>type c:\notdel.txt 1>>c:\log.txt
Den angivne fil blev ikke fundet.

C:\WINDOWS\system32>echo.1>>c:\log.txt

C:\WINDOWS\system32>echo Merging registry entries 1>>c:\log.txt

C:\WINDOWS\system32>echo -------------------------------------------------------
----------  1>>c:\log.txt

C:\WINDOWS\system32>echo REGEDIT4 1>clear.reg

C:\WINDOWS\system32>echo.1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Ms4Hd] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Hd] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explore
r\Vendor] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\custom] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explor
er\Toolbar\{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_CLASSES_ROOT\CLSID\{A5366673-E8CA-11D3-9CD9-0090
271D075B}] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_CLASSES_ROOT\CLSID\{98DBBF16-CA43-4c33-BE80-99E6
694468A4}] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5366673-E
8CA-11D3-9CD9-0090271D075B}] 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV
ersion\Internet Settings\ZoneMap\Domains\63.219.181.7] 1>>clear.reg

C:\WINDOWS\system32>echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe
rsion\Internet Settings\ZoneMap\Domains\63.219.181.7] 1>>clear.reg

C:\WINDOWS\system32>echo "http"=dword:00000004 1>>clear.reg

C:\WINDOWS\system32>echo [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentV
ersion\Internet Settings\ZoneMap\Domains\search-soft.net] 1>>clear.reg

C:\WINDOWS\system32>echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe
rsion\Internet Settings\ZoneMap\Domains\search-soft.net] 1>>clear.reg

C:\WINDOWS\system32>echo "http"=dword:00000004 1>>clear.reg

C:\WINDOWS\system32>regedit /a  c:\bad.reg "HKEY_LOCAL_MACHINE\Software\Microsof
t\Windows\CurrentVersion\Ms4Hd"

C:\WINDOWS\system32>reg query "HKLM\Software\Microsoft\Windows\CurrentVersion\Hd
" 1>>c:\bad1.txt

Fejl: Systemet kunne ikke finde den angivne registreringsdatabasenøgle eller vær
di.

C:\WINDOWS\system32>regedit.exe /s clear.reg

C:\WINDOWS\system32>del clear.reg

C:\WINDOWS\system32>echo The Registry Entries Found...  1>>c:\log.txt

C:\WINDOWS\system32>echo -------------------------------------------------------
----------  1>>c:\log.txt

C:\WINDOWS\system32>echo.  1>>c:\log.txt

C:\WINDOWS\system32>type c:\bad.reg  1>>c:\log.txt
Den angivne fil blev ikke fundet.

C:\WINDOWS\system32>echo.  1>>c:\log.txt

C:\WINDOWS\system32>type c:\bad.txt  1>>c:\log.txt
Den angivne fil blev ikke fundet.

C:\WINDOWS\system32>del c:\bad.txt
c:\bad.txt blev ikke fundet.

C:\WINDOWS\system32>del c:\bad.reg
c:\bad.reg blev ikke fundet.

C:\WINDOWS\system32>del ver1.txt

C:\WINDOWS\system32>del ver2.txt

C:\WINDOWS\system32>del ver3.txt

C:\WINDOWS\system32>echo Other bad files to be Manually deleted.. Please note th
at this might also list legit Files, be careful while deleting 1>>c:\log.txt

C:\WINDOWS\system32>echo -------------------------------------------------------
----------  1>>c:\log.txt

C:\WINDOWS\system32>dir /b hd??.dll 1>>c:\log.txt
Filen blev ikke fundet.

C:\WINDOWS\system32>dir /b ms??.dll 1>>c:\log.txt

C:\WINDOWS\system32>cd C:\Documents and Settings\All Users\Start Menu\Programs\S
tartup
Den angivne sti blev ikke fundet.

C:\WINDOWS\system32>del Microsoft.hta
C:\WINDOWS\system32\Microsoft.hta blev ikke fundet.

C:\WINDOWS\system32>cd C:\WINDOWS

C:\WINDOWS>del hlp32.exe
C:\WINDOWS\hlp32.exe blev ikke fundet.

C:\WINDOWS>goto last

C:\WINDOWS>start c:\log.txt
-----------------------------------------------------------------------

og her skulle gerne være haxslet-loggen-->Microsoft Windows XP [version 5.1.2600]
C:\WINDOWS\system32
"Files found"

deleting files........
---------------------------------------------------------
"Files Not Deleted"
---------------------------------------------------------------------
Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
  6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SoundMan"="SOUNDMAN.EXE"
"Norman ZANDA"="C:\\DOCUMENTS AND SETTINGS\\TONNI\\SKRIVEBORD\\INSTALLS\\Nvc\\BIN\\ZLH.EXE /LOAD /SPLASH"
"MessengerPlus3"="\"C:\\Programmer\\Messenger Plus! 3\\MsgPlus.exe\""

-----------------------------------------------------------------

Done
Found in first run... if you see w32tm.exe it worked :-)
drct16.dll
PS.A3D
ps.a3d

--------------------------------------------------------------

kopieret ved hjælp af wordpad mpc program.....nå men pyt...tror det er de rigtige logger ihvertfald...

søgte på haxdor på nettet....tror  ikk jeg nogensinde bliver perle ven med  den fætter *S*...ejvind du må da gerne give dit besyv med hvis du ka få noget ud af loggerne..:-)

darkangel777: Desværre, Tonnybrandt er vist den eneste af de aktive HJT-loggere på Eksperten, der kan finde ud af at håndtere den her. Her må vi andre bare nøjes med at kigge på... Men jeg tror godt jeg kan sige at det er de rigtige log's du har fået lagt ind -- selvom det overrasker mig lidt at selve program-koden også blev logget...

oki...men takker for hjælp med loggerne...venter spændt på tonny så :-)...o..O..( tror der skulle ha stået 600 point i stedet  for 60 *S*)

lige en supplerende tilføjelse : de sidste 3 gange jeg har haft genstartet 'puteren'...og gået  på nettet..har den der search/startside IKKE gået igang nu.....men  syns til gengæld puteren tager utroligt lang tid om at lukke ned og starte op....

Tak til ejvindh for hjælpen med at få loggen frem. Det skal siges at det kun er anden gang jeg bruger den remv3.bat og første gang jeg bruger haxslet.bat, så helt fuldbefaren er jeg ikke i præcis disse værktøjer.

Det overrasker også mig at den første batchfil skrev programkoden med. Der må mangle en @echo off oppe i toppen *s*

Det ser ud som om den sidste haxslet fik ram på den, idet det ikke ser ud til at reg.base nøglen blev gendannet. For at være sikker vil jeg gerne se endnu en log fra et andet progem, der ikke forsøger at fixe problemet, men blot viser nogle nøgler fra reg-basen.:
Hent dette program, pak det ud og kør find.bat (den scanner 5-10 min, men den slutter med en log som du skal kopiere herind):
http://www.fbeej.dk/Programmer/Find_It_NT_2K_XP.zip

Den bruges til en anden slags infektion, men vil vise den relevante nøgle hvis den findes. Og hvis den ikke længere er der, er Haxdor væk.

hej igen....det virker også til at  computeren opfører sig normalt nu (bortset fra at den ikke auto-logger mig på experten)

her skulle gerne være loggen fra find-it :Please disregard any "File Not Found" messages,
they are a normal part of the search process.

Filen blev ikke fundet.

Beginning Strings.exe search...this portion of the search
can take several minutes, please allow it to run until
the log appears.
Den angivne sti blev ikke fundet.
Den angivne sti blev ikke fundet.
header.txt
system.txt
hidden.txt
guard.txt
temp.txt
useragent.txt
notify.txt
locate.txt
qoologic.txt
aspack.txt
runkey.txt
        1 fil(er) kopieret.

-----------------------------------------------------------------------------

tog en log af hjt-mens jeg var i fejlsikret...den kommer her : Logfile of HijackThis v1.99.0
Scan saved at 21:04:56, on 07-02-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Tonni\Skrivebord\installs\hijackthis  ny\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://spil.tv2.dk/whist/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O23 - Service: Norman API-hooking helper - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown - C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown - C:\Documents and Settings\Tonni\Skrivebord\installs\Nvc\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component - Norman ASA - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler - Norman Data Defense Systems - C:\DOCUMENTS AND SETTINGS\TONNI\SKRIVEBORD\INSTALLS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

er vi ved at være der  så..*S*

Ja, hvis du ikke længere har popups, er infektionen væk. Der er ikke spor i de 2 logs. Det ser dog ud til at du ikke har fået hele den første log med.

Det ser ud til at haxslet virker *s*

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Du skal forresten have opdateret din xp til minimum sp1. Du er alt for sårbar uden at være opdateret.
Servicepacks kan hentes her: http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/

jeg vil sige dig tusind tusind tak tonny...det var en ordentlig omgang :-) men også lærerigt/spændende.

hvis der ellers ikk er andet jeg skal have tilbage indstillet (tænkte på det der med at pille ved root osv..) så vil jeg  slutte af med  at rydde op i systemgendannelse....kan vel også trygt smide de forsk log's ud...gemmer alle de små programmer

tror jeg har indstalleret  det meste sikkerheds hjælp jeg kan få bortset fra sp1 og 2 dem må jeg have fat i

takker endnu engang dig for stor hjælp...og giver pointene med glæde :-)

Velbekomme og takker for point :)

Og tak til ejvindh for god assistance *s*

Det var så lidt :-)
Så fik jeg da afluret endnu et værktøj til værktøjskassen ;-)