Your Computer is infected

har du prøvet at køre dit anti-virus, anti spyware osv i fejlsikret tilstand? genstart comp, tryk F8 under opstart, vælg start computeren i fejlsikret tilstand, kør diverse progz

Hent denne fil og gem den på skrivebordet til lidt senere
http://www.fbeej.dk/Programmer/smitfraud1.zip

Udpak smitfraud1.zip
dobbeltklik på smitfraud1... og sig ja til at gemme ændringerne i registreringsdatabasen.

Hjalp det??

Nej desværre :(
Det virker som om at den bliver fjernet, men efter 2 min, så begynder den at poppe op igen

Lad mig se en ny hijackthis log

<pandaball>: Er du der ?

Hej igen

Den ser sådan ud: Håber jeg kan gøre et eller andet, så jeg ikke skal formatere min maskine.
Tak for hjælpen!

Logfile of HijackThis v1.99.1
Scan saved at 15:52:20, on 04-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pandaball\Skrivebord\hijackthis.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmer\Spyware Doctor\sdhelp.exe

Download og gem disse scanner på skrivebordet:

Hent denne scanner.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
(men lad være med at scanne endnu).

-----

Ewido: http://www.ewido.net/en/download/
Klik på Download now. Installer og kør Ewido. Opdater straks efter installationen programmet, (men lad være med at scanne endnu).

----------

Genstart i fejlsikret tilstand. Du skal klikke på f8 tasten under genstarten (ca. lige når der er talt ram), og så vælge fejlsikret tilstand. Er du i tvivl, så klik bare på f8 flere gange. Kør nu en fuld scanning med Ewido. Når den er færdig trykker du save report.

-----

Kør nu en fuld scanning med Ewido. Når den er færdig trykker du save report og gemmer rapporten.

-----

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.
-----

Begge rapporter kopier du herind sammen med en ny hijackthis taget efter du har kørt de 2 scannere

Hej Experter

Her er de og det ser ud til at det har virket og at den der popup med "wour computer is infected" ikke er der længere.

---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            17:44:07, 06-02-2006
+ Rapport-Checksum:        B3D63DA4

+ Scanningsresultat:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\spyaxe.exe -> Adware.SpyAxe : Renset med backup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyAxe -> Adware.SpyAxe : Renset med backup
    HKLM\SOFTWARE\SpyAxe -> Adware.SpyAxe : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@2o7[1].txt -> Spyware.Cookie.2o7 : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@ads1.revenue[1].txt -> Spyware.Cookie.Revenue : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@adtech[1].txt -> Spyware.Cookie.Adtech : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@advertising[2].txt -> Spyware.Cookie.Advertising : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@atdmt[2].txt -> Spyware.Cookie.Atdmt : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@cz7.clickzs[1].txt -> Spyware.Cookie.Clickzs : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@ehg-nokiafin.hitbox[2].txt -> Spyware.Cookie.Hitbox : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@fastclick[1].txt -> Spyware.Cookie.Fastclick : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@hitbox[1].txt -> Spyware.Cookie.Hitbox : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@image.masterstats[1].txt -> Spyware.Cookie.Masterstats : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@paycounter[2].txt -> Spyware.Cookie.Paycounter : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@revenue[1].txt -> Spyware.Cookie.Revenue : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@statcounter[2].txt -> Spyware.Cookie.Statcounter : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Renset med backup
    C:\Documents and Settings\Pandaball\Cookies\pandaball@yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Renset med backup

    C:\Programmer\SpyAxe -> Hijacker.SpyAxe : Renset med backup
    C:\Programmer\SpyAxe\Lang -> Hijacker.SpyAxe : Renset med backup
    C:\Programmer\SpyAxe\Lang\English.ini -> Hijacker.SpyAxe : Renset med backup
    C:\Programmer\SpyAxe\Quarantine -> Hijacker.SpyAxe : Renset med backup


::Rapport slut

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

can statistics
-----------------------------------------------------------------------------
Objects scanned: 81
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 2289 Kb/s
Scan time: 00:00:13



-+-+-+-+-+-+-+-+-+-+-+-+-+-

ogfile of HijackThis v1.99.1
Scan saved at 18:59:08, on 06-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Pandaball\Skrivebord\hijackthis.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmer\Spyware Doctor\sdhelp.exe

Vil I lige kigge efter, mange tak!

Så er din log ren.

Efter sådan en tur er det altid en god ide og rydde op i dine systemgendannelses filerne.
Deaktiver systemgendannelse ( http://www.arlet.dk/systemgendannelsen.htm ) - genstart din computer - aktiver systemgendannelse.

Generel oprydning: http://www.arlet.dk/oprydning.htm

For at beskytte dig mod snavs har jeg lavet en sikkerhedspakke,
som du kan se her : www.arlet.dk/pakke.htm

Hej eksperter

Jeg takker for jeres hjælp!
Nu kører mit system som den skal