Trojanere, der bliver ved med at dukke op

Hent "Malwarebytes' Anti-Malware" her: http://www.malwarebytes.org/mbam.php
Installer og start programmet, opdater, lav "fuld systemscanning" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

Hent http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Kør HijackThis, klik på scan, kopier loggens tekst og send den herind.

Malwarebytes' Anti-Malware 1.30
Database version: 1412
Windows 6.0.6001 Service Pack 1

19-11-2008 17:56:25
mbam-log-2008-11-19 (17-56-25).txt

Skan type: Hurtig skanning
Objekter skannet: 48718
Tid tilbagelagt: 3 minute(s), 19 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 3

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Windows\b.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\tasklist.com (Worm.Alcra) -> Quarantined and deleted successfully.
C:\Windows\System32\tracert.com (Worm.Alcra) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:46, on 19-11-2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\FK-Data\WinKompas3\Kompas.exe
C:\Program Files\SetWeb\SetWeb.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\Users\Fonden\AppData\Local\Temp\Adobelm_Cleanup.0001
C:\Users\Fonden\AppData\Local\Temp\Adobelm_Cleanup.0001
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Fonden\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W6CMOSRD\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.dk/ig/dell?hl=da&client=dell-row&channel=dk&ibd=2070814
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer leveret af Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 6315 bytes

Fuld systemscanning, fjern det valgte og send loggen her ind.
genstart og ny hijack-log tak.

Fuld systemscanning. Jeg er ikke lige med.....med hvilket program?....Min PC Tools Spyware Doctor?

Tgaard der er nogle ting du skal sørge for:
1. SØRG for at systemgendannelsen er slået FRA (du fjerner kun vira midlertidigt hvis den er slået til)
2. sørg for du har et EFFEKTIVT antivirus program installeret. AVG Freeedition er ikke 5 potter af det gule væed
3. sørg for, at dit AV-program er OPDATERET og registreret (altså 100% funktionelt)
4. download denne malware cleaner til dit skrivebord: http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. genstart din PC i fejlsikret tilstand
6. scan med dit AV-program, malware cleaner og evetuelle spyware-programmer
slet alle infektioner

forøvrigt stopper du systemgendannelsen ved, at højreklikke "denne computer"
vælge fanebladet systembeskyttelse
fjerner fluebenet i "systemgendannelse"

fejlsikret tilstand klarer du ved, at trykke gentagne gange på F8 under opstart af din maskine. På et tidspunkt (INDEN windows-load-flaget ses) se et sort billede hvor du øverst kan vælge fejlsikret tilstand.

Bemærk du skal ikke blive bange for, at alt ser underligt ud. Dette er kun indtil du genstarter normalt igen.

MANGE tak. Det vil jeg gøre....får dog først tid i morgen formiddag.
Jeg vender tilbage med svar og evt. point

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Ka' godt 'se' bandit/snavs programmet; la' os se om omtalte programmer napper det...

Kommentar: juleulven
19/11-2008 19:16:12 Tgaard der er nogle ting du skal sørge for:
1. SØRG for at systemgendannelsen er slået FRA (du fjerner kun vira midlertidigt hvis den er slået til)
2. sørg for du har et EFFEKTIVT antivirus program installeret. AVG Freeedition er ikke 5 potter af det gule væed
3. sørg for, at dit AV-program er OPDATERET og registreret (altså 100% funktionelt)
4. download denne malware cleaner til dit skrivebord: http://download.norman.no/public/Norman_Malware_Cleaner.exe
5. genstart din PC i fejlsikret tilstand
6. scan med dit AV-program, malware cleaner og evetuelle spyware-programmer
slet alle infektioner

---------------------------
***Karise ER i gang, så et komme så sent med vejledning er kun til at forvirre!!!***

1. Den har han slået fra!
2. Ikke enig.
3. de fleste AV programmer opdaterer sig selv.
4. Der er allerede gang i Malware Antibytes.
5. Nej!!! Så starter den jo op i begrænset tilstand, og vil ikke starte alt, og derved måske ikke en evt. virus.
6. Han har scannet med AV og anti spyware program må vi gå ud fra, siden der er scannet med "PC Tools Spyware Doctor" ...

Kommentar: tgaard
19/11-2008 18:50:22

Du skal scanne med de programmer karise nævner, på den måde han siger du skal gøre...

Jeg mente naturligvis med Malwarebytes' Anti-Malware

* uhm john nu kan jeg kun se "karise" har 1 indlæg her i posten så hvad du lige referere til ved jeg ikke

* hvis du forsøger, at scanne for infektioner i normal tilstand, er filen der initierer viraen i brug. Derved kan du ikke slette alle infektionerne og derved fjerner du ikke vira

* angående punkt 2 syntes jeg du skal drible ind på AVG's hjemmeside og se hvorfor der ud for størstedelen af punkterne ved AVG FREE edition står "why do I need this".
link til AVG free og betalingsudgaven samt forskelle i beskyttelse:
http://free.avg.com/download-avg-anti-virus-free-edition

* jeg antager ikke ret meget når vi har med folk der beder om hjælp.

juleulven--> Hvor ser du AVG henne, jeg ser avira!

juleulven> Sorry - det var f-arn jeg mente!1
Uanset hvad, så synyes jeg det er forkert at blande sig når f-arn er i gang. F-arn er i stand til selv at hjælpe spørger med at få renset den maskine for snavs. Har set ham i sving :)

Men det er min egen mening...

det var egentlig mest ment som et eksempel på, at mange "gratis" versioner af antivirus programmer har mange begrænsninger.... og mange lag-folk tror AVG's gratis program er godt.... 

det er det desværre ikke ...

john: ahh ;) så giver det lidt mere mening for mig ...
og meninger har vi jo ret til, at have ...  :)

men min erfaring (bl.a. efter Windows Antivirus 2008) siger mig, at man ikke kan sidde og kigge en "hijackthis" igennem ... de er lidt u-konklusive :)

Der giver jeg dig ret - den kan kun bruges som en rettesnor, for tit viser den ikke de filer der er inficerede.

Men vi har også alle vores arbejde at arbejde på - sådan er vi heldigvis så forskellige ;)

Jeg blev vist lidt villedt her *S*
Men jeg har prøvet nogle af ovennævnte ting....desværre uden held.

Jeg får stadig de samme exe-filer i dette bibliotek:
C:\Users\Fonden\AppData\Local\Temp\...\fvprf03.exe

Når jeg søger efter eksempelvis ovennævnte exe-fil...så findes den ikke
Exe-filerne vender tilbage i løbet af dagen - tilsyneladende virker det som et tidsinterval. Så hver dag skal jeg lade mit virusprogram fjerne de samme exe-filer op til 8-10 gange dagligt.

Nu har jeg inde i Windows Firewall under fanebladet undtagelser fjernet en række "flueben", så der nu kun er følgende undtagelser markeret:

Internet Explorer
Kernenetværk
Netværksregistrering

Ved endnu ikke om det hjælper

Har du prøvet 'fuldstændig systemskan' med Malwarebytes' Anti-Malware?
Hvis ja, vil jeg gerne se loggen + ny log fra hijackthis.
Som karise skriver skal hijackthis køres fra comp. og ikke fra nettet

Tgaard når du ikke scanner i fejlsikret tilstand fjerner du altså ikke viraen 100%
du bør altså scanne i fejlsikret tilstand med både antivirus program og det malware program jeg har linket til...

og unskyld jeg blander mig igen :-)

Skal jeg scanne 'fuldstændig systemskan' med Malwarebytes' Anti-Malware i fejlsikret tilstand?

nej,bare almindeligt

Uden at have scannet det i fejlsikret tilstand får jeg følgende:

Malwarebytes' Anti-Malware 1.30
Database version: 1413
Windows 6.0.6001 Service Pack 1

20-11-2008 16:06:23
mbam-log-2008-11-20 (16-06-23).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 184925
Tid tilbagelagt: 1 hour(s), 5 minute(s), 27 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:27, on 20-11-2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\plug_ins\PaperCapture\Server\Roman\Capserve.exe
C:\Program Files\FK-Data\WinKompas3\Kompas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Users\Fonden\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.dk/ig/dell?hl=da&client=dell-row&channel=dk&ibd=2070814
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer leveret af Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)

--
End of file - 6758 bytes

Genstart i fejlsikret tilstand, start hijackthis og klik på "do a system scan only" og marker følgende linie:
F3 - REG:win.ini: load=C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe
luk alle andre vinduer og klik "fix checked".
Genstart normalt og find filen C:\Users\Fonden\AppData\Local\Temp\dllhst3g.exe og slet den. Så en ny hijackthis log

I stedet for at slette den så prøv at oploade den til:
http://virusscan.jotti.org/
Du kan finde en forklaring her:
http://fromsej.dk/Vejledninger/billman/jotti.html

Der har været mange forslag men f-arn havde DEN løsning (20/11-2008 17:31:03), der virkede. Dagen efter var der ikke slet ikke mere "ballade" med maskinen.
Så - f-arn - vil du give mig et svar, så jeg kan give dig points?....og MANGE tak for hjælpen!!!

et svar

Ups - prøver lige igen:)