Defekt afbildning. XP re-installation?

prøv først dette:
http://www.hcma.dk/tips21to30.htm#no22
og hvis det ikke hjælper: en REPAIR  http://www.hcma.dk/tips1to10.htm#no4

fik desvæære ikke læst det sidste du skrev. Men kan det virkelig passe at der ikker er medfølgende WinXP-cd ?
Eller ligger installationsfilerne på en "skjult" partition  (check din manual) til brænding/kopiering.
Du kunne jo også ringe til Zitech og høre om de ikke vil sende dig en WinXP-cd til et symbolsk beløb

Det lyder som om SpySweeper ikke fik ryddet helt op.

Gå ind her og hent Hijackthis.
http://danborg.org/spy1/HJT/hijackthis.exe
Kør Hijackthis, "Do a system scan and save a logfile" og kopier logfilen herind. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Hej og tak for jeres mails. Nu er jeg (efter en festlig weekend) ved tasterne igen.

hcma: Spændende hjemmeside med megen nyttig information.
(a) Jeg har nu kørt "sfc /scannow". Jeg får ikke længere "defekt afbildning" fejlen ved start af Windows Explorer. Men jeg får stadig fejlen ved aktivering af alle andre programmer (eksempelvis 10-15 gange ved boot).

(b) Har anskaffet en WinXP-Prof CD. Men kunne ikke køre det, da den siger, at CD'en er en tidligere version end PC'en. (Mon jeg skal afinstallere SP"??)

(c) Spørgsmål: Som sagt har jeg to harddiske. C: systemdisk d: som et raid system af to harddiske. Jeg ved, at raid disken har en driver ... sikkert på c-drevet. Hvis jeg reinstallere på C: (eller formatere den), kan jeg miste data på d: qua, at driveren til den ligger på C?

Tonnybrandt: Tak for dit input.
(d) Jeg har hentet jijackthis. Jeg skal køre det nu. Kan man attach'e en fil her, eller skal jeg lave copy/paste?

Mvh,
Sam

PS! Jeg har lige konstateret, at filen "C:\WINDOWS\System32\wdm.dll" IKKE er slettet. Den ER der! Kan jeg gøre noget for at blive fri for "Defekt Afbildning" viduet? (Uden at reinstallere?) Hvad hedder defect afbildning på engelsk. "Defect Mapping" giver ingen fornuftige reslutater på google.  ??

Du laver bare en copy/paste og kopierer loggen herind.

Det burde være muligt at se hvad problemet skyldes i loggen.

Det blev en lang en. Den kommer herunder. (Der er mindt én proces, der ser suspekt ud: C:\PROGRA~1\COMMON~1\ECURIT~1\ati2evxx.exe)
________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 03:04:04, on 27-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Support.com\bin\tgcmd.exe
C:\Programmer\Fellowes\MediaFACE 4.0\SetHook.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\W?nSxS\dvdplay.exe
C:\PROGRA~1\COMMON~1\ECURIT~1\ati2evxx.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Download\Spyware killers\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R3 - URLSearchHook: (no name) - {E58F7F16-CBFF-E477-A5AD-E7CB59EB589A} - C:\WINDOWS\system32\hqe.dll (file missing)
R3 - URLSearchHook: (no name) - {C07C2E15-91AC-B328-ADF8-E23BF67124CF} - C:\WINDOWS\system32\bts.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C07C2E15-91AC-B328-ADF8-E23BF67124CF} - C:\WINDOWS\system32\bts.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IAAnotif] C:\Programmer\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [hcenter] "C:\Programmer\Support.com\bin\tgcmd.exe" /server /startmonitor
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programmer\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [Ulead Quick-Drop] "C:\Programmer\Ulead Systems\Ulead DVD MovieFactory 4.0 Disc Creator TBYB\Ulead Quick-Drop

1.0\Quick-Drop.exe" WINDOWCALL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Dqiqku] C:\WINDOWS\system32\W?nSxS\dvdplay.exe
O4 - HKCU\..\Run: [Cdos] "C:\PROGRA~1\COMMON~1\ECURIT~1\ati2evxx.exe" -vt ndrv
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Documents and Settings\All

Users\Skrivebord\Glophone.lnk (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programmer\UnH Solutions\IE Privacy

Keeper\IEPrivacyKeeper.exe (HKCU)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programmer\UnH Solutions\IE Privacy

Keeper\IEPrivacyKeeper.exe (HKCU)
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140287433687
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) -

http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\wdm.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\pXp.dll (file missing)
O20 - Winlogon Notify: winexz32 - winexz32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - C:\Programmer\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec

Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmer\Alcohol Soft\Alcohol

120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
________________________________________________________


Vil det mon hjælpe, hvis jeg bruger regsrv32 til at registrere "wmd.dll"-filen?

Nej, for den hører ikke hjemme på pc'en. Du er rimeligt hårdt angrebet og det undrer mig at spysweeper ikke har fjernet mere end den har.

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R3 - URLSearchHook: (no name) - {E58F7F16-CBFF-E477-A5AD-E7CB59EB589A} - C:\WINDOWS\system32\hqe.dll (file missing)
R3 - URLSearchHook: (no name) - {C07C2E15-91AC-B328-ADF8-E23BF67124CF} - C:\WINDOWS\system32\bts.dll (file missing)
O2 - BHO: (no name) - {C07C2E15-91AC-B328-ADF8-E23BF67124CF} - C:\WINDOWS\system32\bts.dll (file missing)
O4 - HKCU\..\Run: [Dqiqku] C:\WINDOWS\system32\W?nSxS\dvdplay.exe
O4 - HKCU\..\Run: [Cdos] "C:\PROGRA~1\COMMON~1\ECURIT~1\ati2evxx.exe" -vt ndrv
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\wdm.dll
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\pXp.dll (file missing)
O20 - Winlogon Notify: winexz32 - winexz32.dll (file missing)

---------------------------------------
Sletning af filer og mapper:
-------------------
Mapper:
C:\WINDOWS\system32\W?nSxS

Filer:
C:\WINDOWS\system32\hqe.dll
C:\WINDOWS\system32\bts.dll
C:\WINDOWS\System32\wdm.dll
C:\WINDOWS\system32\pXp.dll
C:\WINDOWS\system32\winexz32.dll
---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Jep ... det gør jeg i aften. Tak. I mellemtiden har jeg hentet Spyware Doctor, som i løbet af få sekunder fandt ud af "wdm.dll" var inficeret og rettede problemet. Jubi, jeg får ikke "defekt afbildning" mere.

Jeg undrer mig over, hvordan jeg kan være så hårdt angrebet, når jeg har flere "guards" kørende hele tiden. Jeg har Norton, MS Win Defender, Spybot Search&Destroy og CWSchredder. Jeg kører flud tjek af alle dreve flere gange om ugen. Hmm ... man kan sikkert ikke lave de idiotsikrede guards, da idioter er utrolig opfindsomme.

PS! Tonny, tak for hjælpen so far.  ;-)

Jamen velbekomme *s*

På Spywarefri ser vi også tit utroligt snavsede logs, i maskiner der ellers burde være sikrede i hoved og r..

En gang imellem bør du køre scanningerne i fejlsikret tilstand hvor du er logget ind med samme bruger som du bruger i normal tilstand. Der er langt større chance for at infektioner kan fjernes i denne tilstand, hvor der ikke er så mange processer kørende.

newsletter >>  ang: 27/02-2006 00:40:38  punkt b)
den XP-cd du har fået er nok UDEN sp2 og da du jo løbende har holdt systemet opdateret (sp2) kommer den med den "fejl". Du kan løse det ved at afinstallere SP2 og så geninstallere den efter du har fået renset pc'en.  (husk at have SP2 liggende klar til geninstall INDEN du går på nettet igen).
Alternativt kan du jå lave en slipstreamed cd incl. sp2 og de andre ting du nu vil have derpå.  http://www.hcma.dk/tips11to20.htm#no12

tonnybrandt >>  hvad siger du om punkterne herfra?  27/02-2006 00:40:38
(du plejer jo at have check på tingene ;o)  )

hcma > Jeg tror du muligvis har misforstået de oplysninger som er givet i det pgl indlæg. Her er mine umiddelbare input til det pgl indlæg:
(Jeg kommenterede det ikke på det tidspunkt, da det jo faktisk ikke var rettet til mig)

(a) Det lykkes åbenbart at køre sfc /scannow, da newsletters ikke fortæller om nogen fejl under kørslen af kommandoen.

(b) Grunden til denne fejlmeddelelse er at cdrom'em bliver kørt inde fra windows og at man ikke booter på den. Bootede man på cdrom'en ville fejlmeddelelsen ikke komme. Man ville selvfølgelig få advarslen om at der allerede er et styresystem på c:\ drevet, men der vil ikek være nogen problemer i at slette det og geninstallere.

(c) Her gælder det at du skal have fundet en driverdiskette til din raid-controller. Når man booter på xp-cdrom'en, skal man så trykke F6, og kan så loade driveren fra disketten. Herefter behandles de pgl raid-drev som ganske alm partitioner og der er intet specielt i det. Du kan formatere c: drevet uden at røre d: drevet osv. Er det den forkerte driver du får loadet vil installationen slet ikke kunne se dine partitioner og du kan dermed ikke installere XP eller for den sags skyld formatere noget som helst.

hcma > Rettelse, efter gennemlæsning af dit svar, vil jeg sige at du jo faktisk ikke har misforstået noget alligevel. Det var mig der læste dit indlæg forkert.

Men det vil være lettere blot at boote på cdrom'en istedet for at skulle igennem en afinstallation af sp2 før man kan geninstalle. Men tippet om at lave en slipstreamed xp er i top. Det bruger jeg også selv og det sparer faktisk meget tid, når sp2 allerede er lagt på med det samme man har installeret.

tonnybrandt >> ;o)    (det kunne nu godt have være mig som havde læst forkert, så jeg løb straks op fik taget synsprøve og bestilt bl.a. nye skærmbriller, men jeg kan se at det havde jeg ikke behøvet alligevel :o) (havde bestilt tid, da alderen åbenbart trykker (manglende fokusering nær/fjern)

hcma > Håber søreme ikke at du sender regningen for brillerne til mig *G*

tonny >>  det endte med at vi købte 3 par (1xskærm, 1xnormal + 1 x til konen). Og jeg havde sponsor med ;o)

Jeg vil ikke købe briller til konen ... tænk, hvis hun kunne se, hvordan jeg så ud om morgenen.  ;-)

Er lige kommet hjem. Jeg logger på i fejlsikret tilstand og sætter rensning i gang til i morgen.

Tonny og hcm ... tak for jeres input og underholdende korrespondance. ;-)

Hej igen,

Vidste jeg, hvor de møgunger der spilder min og mange andres tid var, havde de kommet over knæet.

Nu jeg kørt CWShredder, Spyware Doctor, Ad-Aware, Ewido, DrWebCureIt, CleanTempPxp, DelO15Domains.inf, Kasparsky, Spy Sweeper og Norton. Jeg mangler lige at bruge et viskelæder og slette harddisken.

Værsgo … her er den alder nyeste log fra HijackThis: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile of HijackThis v1.99.1
Scan saved at 21:53:41, on 28-02-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Spyware Doctor\sdhelp.exe
C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Fellowes\MediaFACE 4.0\SetHook.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\Ahead\lib\NMBgMonitor.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\Bodrag\Wipe Expert\WipeExpert.exe
C:\Programmer\Bodrag\Wipe Expert\WipeExpert.exe
C:\Programmer\Messenger\msmsgs.exe
D:\Download\Spyware killers\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IAAnotif] C:\Programmer\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programmer\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpySweeper] "C:\Programmer\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Wipe Expert] "C:\Programmer\Bodrag\Wipe Expert\WipeExpert.exe" /start
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140287433687
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - C:\Programmer\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Norton AntiVirus Auto Protect (navapsvc) - Symantec Corporation - C:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmer\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmer\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

______________________________________________________

Tak på forhånd,
Sam

Noget har du gjort rigtigt, for loggen er ren med undtagelse af denne uskadelige rest:

O18 - Filter hijack: text/xml - (no CLSID) - (no file)

Du må gerne lige prøve at fixe den igen i HiJackThis
(ifald du overså den i første ombæring)

Jubbbiii ...

Hej Tonny,

Jeg mindes, at jeg også slettede den. Jeg kan i hvert fald huske, jeg tittede efter den. Pyt, alzhiemer. Den er slettet nu. Jeg er glad og taknemlig mand.

Og nu skal du have dine point selvfølgelig. Øhh ... hvordan er det nu, jeg skal gøre? (Jeg HAR nemlig lavet fejl ved det her før!)

Ok, og den er væk nu ???

Jeg sidder nemlig og leder efter stedet i reg-basen som denne linie stammer fra, men jeg vil da holde inde hvis det lykkedes at fixe den i HiJackThis *s*

Mht point, så kræver det at jeg lægger et svar og det kommer her.

Den er tilbage, kan jeg se. Men hvis den er harmløs, må den gerne være der. Jeg har også sat en søgning i gang i registry databasen. Måske finder jeg den der.

Tak for hjælpen i al fald.

Velbekomme. Jeg mener jeg har fundet de 2 steder der kan være tale om, og har lavet en reg-fil som du kan importere. Den burde fixe problemet.

Kopier alt under den stiplede linie over i notesblok og gem den som en fil med navnet filter.reg og filtypen alle filer. Dobbeltklik filen bagefter og sig ja til at tilføje værdierne i reg-basen.
Sig til hvis den brokker sig over sikkerheden når du forsøger at importere den.

------------------------------
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/xml]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

Det har jeg nu lavet. Tak Tonny.  ;-)

No problem. Jeg lægger et svar som du kan acceptere :)

Ups ... jeg troede, at jeg allerede havde accepteret. Det gør jeg igen.

Jeg har nu trykket "Accepter", men kan stadig se, at knappen er der. Er dit svar nu registereret som accepteret? (Feel a bit silly now!)

Det du skal gøre er at markere mit navn ovre i boksen til venstre og så trykke accepter.

Det er ikke helt indlysende med den opbygning, men så snart man har prøvet det en enkelt gang kan man huske det. Du er bestemt ikke den første der har haft problemer med at acceptere et svar *s*

YES! Det lykkedes. Tak for hjælpen.

Velbekomme og takker for point :)

Altså min computer gør det samme det med defekt afbildning Men Jeg har prøvet en hel masse ting og jeg er ikke så god til computere Så er der nogle der kan hjælpe mig med Fjernsupport

Tak på Forhånd


- Oliver

<hit-and-run>: Du bør (=skal) oprette din egen 'tråd' med dit spørgsmål/problem
http://expfaq.dk/opret_nyt_spm#opret_nyt_spm