CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede tgaard Nybegynder
19. november 2008 - 17:36 Der er 28 kommentarer og
1 løsning

Trojanere, der bliver ved med at dukke op

Flere gange om dagen opdager mit virusprogram en exe-fil, der går i direkte i et TEMP-bibliotek - her:

C:\Users\Fonden\AppData\Local\Temp\...\fvprf03.exe
(... = yderligere sti, som jeg ikke kan se).

Jeg har gjort følgende:

1. Kørt fuldstændig scanning af C- & D-drev med mit virusprogram
2. Kørt fuldstændig scanning af C- & D drev med Spybot
3. Slået Systemgendannelse helt fra
4. Afinstalleret Spybot og erstattet det m.PC Tools Spyware Doctor

PC Tools Spyware Doctor fandt en del mere end Spybot og fjernede det. Men kun ca. 10 minutter efter, blev jeg igen udsat for ovenstående problem.

Jeg troede i det mindste, at PC Tools Spyware Doctor (som jeg lige har betalt 29 EURO for) virkede.

HVAD GØR JEG NU????
Avatar billede f-arn Guru
19. november 2008 - 17:50 #1
Hent "Malwarebytes' Anti-Malware" her: http://www.malwarebytes.org/mbam.php
Installer og start programmet, opdater, lav "fuld systemscanning" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

Hent http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Kør HijackThis, klik på scan, kopier loggens tekst og send den herind.
Avatar billede tgaard Nybegynder
19. november 2008 - 17:57 #2
Malwarebytes' Anti-Malware 1.30
Database version: 1412
Windows 6.0.6001 Service Pack 1

19-11-2008 17:56:25
mbam-log-2008-11-19 (17-56-25).txt

Skan type: Hurtig skanning
Objekter skannet: 48718
Tid tilbagelagt: 3 minute(s), 19 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 3

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Windows\b.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\Windows\System32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.
Avatar billede tgaard Nybegynder
19. november 2008 - 17:58 #3
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:46, on 19-11-2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\FK-Data\WinKompas3\Kompas.exe
C:\Program Files\SetWeb\SetWeb.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\Users\Fonden\AppData\Local\Temp\Adobelm_Cleanup.0001
C:\Users\Fonden\AppData\Local\Temp\Adobelm_Cleanup.0001
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Fonden\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W6CMOSRD\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.dk/ig/dell?hl=da&client=dell-row&channel=dk&ibd=2070814
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer leveret af Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 6315 bytes
Avatar billede f-arn Guru
19. november 2008 - 18:12 #4
Fuld systemscanning, fjern det valgte og send loggen her ind.
genstart og ny hijack-log tak.
Avatar billede tgaard Nybegynder
19. november 2008 - 18:50 #5
Fuld systemscanning. Jeg er ikke lige med.....med hvilket program?....Min PC Tools Spyware Doctor?
Avatar billede juleulven Nybegynder
19. november 2008 - 19:16 #6
Tgaard der er nogle ting du skal sørge for:
1. SØRG for at systemgendannelsen er slået FRA (du fjerner kun vira midlertidigt hvis den er slået til)
2. sørg for du har et EFFEKTIVT antivirus program installeret. AVG Freeedition er ikke 5 potter af det gule væed
3. sørg for, at dit AV-program er OPDATERET og registreret (altså 100% funktionelt)
4. download denne malware cleaner til dit skrivebord: http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. genstart din PC i fejlsikret tilstand
6. scan med dit AV-program, malware cleaner og evetuelle spyware-programmer
slet alle infektioner
Avatar billede juleulven Nybegynder
19. november 2008 - 19:18 #7
forøvrigt stopper du systemgendannelsen ved, at højreklikke "denne computer"
vælge fanebladet systembeskyttelse
fjerner fluebenet i "systemgendannelse"

fejlsikret tilstand klarer du ved, at trykke gentagne gange på F8 under opstart af din maskine. På et tidspunkt (INDEN windows-load-flaget ses) se et sort billede hvor du øverst kan vælge fejlsikret tilstand.

Bemærk du skal ikke blive bange for, at alt ser underligt ud. Dette er kun indtil du genstarter normalt igen.
Avatar billede tgaard Nybegynder
19. november 2008 - 19:20 #8
MANGE tak. Det vil jeg gøre....får dog først tid i morgen formiddag.
Jeg vender tilbage med svar og evt. point
Avatar billede Computer Hjælp (Gratis) Mester
19. november 2008 - 20:11 #9
Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Ka' godt 'se' bandit/snavs programmet; la' os se om omtalte programmer napper det...
Avatar billede johnstigers Seniormester
19. november 2008 - 20:36 #10
Kommentar: juleulven
19/11-2008 19:16:12 Tgaard der er nogle ting du skal sørge for:
1. SØRG for at systemgendannelsen er slået FRA (du fjerner kun vira midlertidigt hvis den er slået til)
2. sørg for du har et EFFEKTIVT antivirus program installeret. AVG Freeedition er ikke 5 potter af det gule væed
3. sørg for, at dit AV-program er OPDATERET og registreret (altså 100% funktionelt)
4. download denne malware cleaner til dit skrivebord: http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. genstart din PC i fejlsikret tilstand
6. scan med dit AV-program, malware cleaner og evetuelle spyware-programmer
slet alle infektioner

---------------------------
***Karise ER i gang, så et komme så sent med vejledning er kun til at forvirre!!!***

1. Den har han slået fra!
2. Ikke enig.
3. de fleste AV programmer opdaterer sig selv.
4. Der er allerede gang i Malware Antibytes.
5. Nej!!! Så starter den jo op i begrænset tilstand, og vil ikke starte alt, og derved måske ikke en evt. virus.
6. Han har scannet med AV og anti spyware program må vi gå ud fra, siden der er scannet med "PC Tools Spyware Doctor" ...
Avatar billede johnstigers Seniormester
19. november 2008 - 20:38 #11
Kommentar: tgaard
19/11-2008 18:50:22

Du skal scanne med de programmer karise nævner, på den måde han siger du skal gøre...
Avatar billede f-arn Guru
19. november 2008 - 20:40 #12
Jeg mente naturligvis med Malwarebytes' Anti-Malware
Avatar billede juleulven Nybegynder
19. november 2008 - 20:45 #13
* uhm john nu kan jeg kun se "karise" har 1 indlæg her i posten så hvad du lige referere til ved jeg ikke

* hvis du forsøger, at scanne for infektioner i normal tilstand, er filen der initierer viraen i brug. Derved kan du ikke slette alle infektionerne og derved fjerner du ikke vira

* angående punkt 2 syntes jeg du skal drible ind på AVG's hjemmeside og se hvorfor der ud for størstedelen af punkterne ved AVG FREE edition står "why do I need this".
link til AVG free og betalingsudgaven samt forskelle i beskyttelse:
http://free.avg.com/download-avg-anti-virus-free-edition

* jeg antager ikke ret meget når vi har med folk der beder om hjælp.
Avatar billede f-arn Guru
19. november 2008 - 20:59 #14
juleulven--> Hvor ser du AVG henne, jeg ser avira!
Avatar billede johnstigers Seniormester
19. november 2008 - 21:03 #15
juleulven> Sorry - det var f-arn jeg mente!1
Uanset hvad, så synyes jeg det er forkert at blande sig når f-arn er i gang. F-arn er i stand til selv at hjælpe spørger med at få renset den maskine for snavs. Har set ham i sving :)

Men det er min egen mening...
Avatar billede juleulven Nybegynder
19. november 2008 - 21:05 #16
det var egentlig mest ment som et eksempel på, at mange "gratis" versioner af antivirus programmer har mange begrænsninger.... og mange lag-folk tror AVG's gratis program er godt.... 

det er det desværre ikke ...
Avatar billede juleulven Nybegynder
19. november 2008 - 21:14 #17
john: ahh ;) så giver det lidt mere mening for mig ...
og meninger har vi jo ret til, at have ...  :)

men min erfaring (bl.a. efter Windows Antivirus 2008) siger mig, at man ikke kan sidde og kigge en "hijackthis" igennem ... de er lidt u-konklusive :)
Avatar billede johnstigers Seniormester
19. november 2008 - 21:22 #18
Der giver jeg dig ret - den kan kun bruges som en rettesnor, for tit viser den ikke de filer der er inficerede.

Men vi har også alle vores arbejde at arbejde på - sådan er vi heldigvis så forskellige ;)
Avatar billede tgaard Nybegynder
20. november 2008 - 14:39 #19
Jeg blev vist lidt villedt her *S*
Men jeg har prøvet nogle af ovennævnte ting....desværre uden held.

Jeg får stadig de samme exe-filer i dette bibliotek:
C:\Users\Fonden\AppData\Local\Temp\...\fvprf03.exe

Når jeg søger efter eksempelvis ovennævnte exe-fil...så findes den ikke
Exe-filerne vender tilbage i løbet af dagen - tilsyneladende virker det som et tidsinterval. Så hver dag skal jeg lade mit virusprogram fjerne de samme exe-filer op til 8-10 gange dagligt.

Nu har jeg inde i Windows Firewall under fanebladet undtagelser fjernet en række "flueben", så der nu kun er følgende undtagelser markeret:

Internet Explorer
Kernenetværk
Netværksregistrering

Ved endnu ikke om det hjælper
Avatar billede f-arn Guru
20. november 2008 - 14:53 #20
Har du prøvet 'fuldstændig systemskan' med Malwarebytes' Anti-Malware?
Hvis ja, vil jeg gerne se loggen + ny log fra hijackthis.
Som karise skriver skal hijackthis køres fra comp. og ikke fra nettet
Avatar billede juleulven Nybegynder
20. november 2008 - 15:53 #21
Tgaard når du ikke scanner i fejlsikret tilstand fjerner du altså ikke viraen 100%
du bør altså scanne i fejlsikret tilstand med både antivirus program og det malware program jeg har linket til...

og unskyld jeg blander mig igen :-)
Avatar billede tgaard Nybegynder
20. november 2008 - 16:11 #22
Skal jeg scanne 'fuldstændig systemskan' med Malwarebytes' Anti-Malware i fejlsikret tilstand?
Avatar billede f-arn Guru
20. november 2008 - 16:20 #23
nej,bare almindeligt
Avatar billede tgaard Nybegynder
20. november 2008 - 16:23 #24
Uden at have scannet det i fejlsikret tilstand får jeg følgende:

Malwarebytes' Anti-Malware 1.30
Database version: 1413
Windows 6.0.6001 Service Pack 1

20-11-2008 16:06:23
mbam-log-2008-11-20 (16-06-23).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 184925
Tid tilbagelagt: 1 hour(s), 5 minute(s), 27 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:27, on 20-11-2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\FK-Data\WinKompas3\Kompas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Users\Fonden\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.dk/ig/dell?hl=da&client=dell-row&channel=dk&ibd=2070814
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer leveret af Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 6758 bytes
Avatar billede f-arn Guru
20. november 2008 - 17:31 #25
Genstart i fejlsikret tilstand, start hijackthis og klik på "do a system scan only" og marker følgende linie:
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
luk alle andre vinduer og klik "fix checked".
Genstart normalt og find filen C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe og slet den. Så en ny hijackthis log
Avatar billede f-arn Guru
21. november 2008 - 15:33 #26
I stedet for at slette den så prøv at oploade den til:
http://virusscan.jotti.org/
Du kan finde en forklaring her:
http://fromsej.dk/Vejledninger/billman/jotti.html
Avatar billede tgaard Nybegynder
23. november 2008 - 09:20 #27
Der har været mange forslag men f-arn havde DEN løsning (20/11-2008 17:31:03), der virkede. Dagen efter var der ikke slet ikke mere "ballade" med maskinen.
Så - f-arn - vil du give mig et svar, så jeg kan give dig points?....og MANGE tak for hjælpen!!!
Avatar billede f-arn Guru
23. november 2008 - 12:30 #28
et svar
Avatar billede f-arn Guru
23. november 2008 - 12:32 #29
Ups - prøver lige igen:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Password sikkerhed Af jhjorsal i Andet sikkerhed 2 13/07/202413:12 13/07/202422:46
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I dag 11:14 Bærbar til Sims 3? Af idamarie i PC
I dag 10:49 Adobe til excel Af densortehingst i Andet software
I dag 09:26 Chrome Af fjorbak i Andet netværk
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Sådan gør du: Elektronisk dokumentudveksling i praksis
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »