Hvordan kan nedenstående fil slettes

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.

filen kan ellers slettes ved tvang.. med http://www.spywareinfo.dk/download/KillBox.zip

eller drdelete

KillBox virker ikke kan heller ikke slette filen.
Hvad er "drdelete" og hvordan bruges den prøvede at fyre den af i command

I killbox skal du selvfølgelig sætte prik i "Delete on reboot"

drdelete finder du her
http://www.docsdownloads.com/Tier1/dr-delete.htm

killbox burde ellers kunne gøre det.

Logfile of HijackThis v1.99.1
Scan saved at 23:39:04, on 07-10-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\wincodec.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AvltMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\ldm\Local Settings\Temp\Temporary Directory 2 for KillBox[1].zip\KillBox.exe
C:\csiv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Documents and Settings\ldm\Desktop\spay\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.groupcare.dk/da/group.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127417583010
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Windows Codecs (Codec) - Unknown owner - C:\WINDOWS\wincodec.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\System32\cusrvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe

upload denne  fil c:\csiv.exe
til http://virusscan.jotti.org/

er det snavs skal den slettes.

Scan din pc i fejlsikret tilstand med disse 2 programmer

mwav
http://www.spywareinfo.dk/download/mwav.exe

Ewido
http://shop.element5.com/product.html?productid=531168

Hvorda giver jegdig point kalp

ved at markere mit navn helt nede i venstre hjørne i den lille boks og trykker på accepter.

Fik du ram på filen?

Ja det lykkedes også før der blev genstartetjeg er bare så glad for din hjælp, tak for det

selv tak:))

Jeg tror der skal bruges et special-værktøj for at få dette rootkit væk. Prøv at følge denne procedure:

Download denne fil, men vent med at køre den. Pak den ud til skrivebordet:
http://www.atribune.org/downloads/rdrivrem.zip

Hent Ewido herfra (14 dages version af plus-versionen
http://www.ewido.net/en/download/
Installer og kør Ewido - opdater programmet.

Installer Cleanup:
http://www.geekstogo.com/modules.php?modid=5&action=download&id=49

Genstart i fejlsikret (tryk på <F8> under opstarten)

Dobbeltklik på rdrivRem.bat som du hentede tidligere, og følg instruktionerne. Efter fuldførelsen, vil der være lavet en rdriv.txt i rdrivrem-mappen. Den skal du lægge herind.

Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

3.) Kør Cleanup! som du installerede tidligere. Sæt programmet op således:
Klik "Options..."
Flyt pilen ned til "Custom CleanUp!"
Marker følgende, og sørg for at intet andet er markeret:
    * Empty Recycle Bins
    * Delete Cookies
    * Delete Prefetch files
    * Cleanup! All Users

Klik OK, og tryk på CleanUp! knappen, for at starte programmet.
**Hvis den beder dig om at reboote eller logge af, så tryk No.

Reboot computeren til normal mode.

Check efter at din firewall er markeret som sat til, og at du kan slå det fra og til igen. Undersøg også om dit antivirus virker -- om du kan slå det til og fra, autoprotecte, osv.

Kør begge disse online-virus-scanninger (ikke samtidig :-)):
http://www.pandasoftware.com/products/activescan.htm
http://housecall.trendmicro.com/  -- marker "Auto Clean"

Gem resultatet fra ActiveScan.

Du skal herefter poste indholdet af rdriv.txt, loggen fra Ewido, loggen fra Activescan og en ny HJT-log.

Derudover kunne det også være godt med informationer fra Jotti om den fil Kalp nævner, og denneher:
C:\WINDOWS\wincodec.exe

Jeg har fået
C:\WINDOWS\wincodec.exe
til at være en lovlig codec fil

Jeg undrede mig tilgengæld mere over denne

c:\csiv.exe

Kalp: Ok, hvor har du fundet inf om den henne :-)

Iøvrigt: Jeg kan se, at I afsluttede tråden, imens jeg skrev mit indlæg. Jeg skal jo ikke kunne udelukke, at problemet virkeligt ER løst, men problemet med rdriv.sys er, at den ofte ikke kan ses nogensteder -- selvom den stadig virker.

http://peter.herber.com/wincodec/readme.txt

Det var fjernelsen af denne der gjorde det muligt at slette filen
c:\csiv.exe

ldm111 >> takker:)

Takker for info. Jeg kan mærke, at jeg ikke trænger igennem her. Men jeg synes i det mindste følgende bør gøres: Check om du har følgende fil:
%Windir%\iTunesMusic.exe

hvis ja, og især hvis den nu figurerer i HJT-loggen, så er der stadig snavs på computeren.

Desuden er der en del reg-settings, der burde fixes også.... Det er hvad rdrivrem.zip-værktøjet gør -- men det er naturligvis op til brugeren selv om han/hun vil køre det. Se evt. symantec's side om infektionen her:
http://www.sarc.com/avcenter/venc/data/pf/w32.spybot.nlx.html