Hijacked XP

Tror ikke selve eksperten.dk har et tool til dette, men hvor alt andet fejler kan du altid stole på spywarefri.dk, evt følg nedenstående guide:

Jeg kan varmt anbefale at hente startup controlpanel og køre det: http://www.mlin.net/StartupCPL.shtml, disable alt du ikke lige ved hvad er, og genstart.

Evt. kan du scanne din maskine igennem via http://housecall65.trendmicro.com

Hent dernæst Spywarefri's oprydningspakke:
http://www.ravencomputers.net/software/swf-tools.zip og følg vejledningen derfra, det burde rydde det meste af vejen.

Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

(Jooo - jeg har 'virus' på hjernen...)

Samtlige ting af det som karise_john skriver, er inkluderet i den del jeg gav i mit svar, HJT er dog lidt dum at bruge hvis man skal stole på Spywarefri.dk, derfor har de lavet en anden slags log og remover, men jeg tror altså at hvis du følger min guide så får du cleanet alt ud.

phahh3 - Har du fået tilladelse af Spywarefri til at lægge deres programmer op på din egen server ?

Hvis ikke handler det om netetik, og copyright. Ganske alvorligt, vil jeg mene ;)

@phahh3_2: Den fil, du henviser til (swf-tools.zip) indeholder et program, der er lavet af FBJ på Spywarefri. Selvom programmet er freeware, så er det ikke god netetik at hoste andres programmer, uden at have fået deres godkendelse. Og det ved jeg konkret, at du ikke har.

I dit tilfælde er det yderligere problematisk, da du hoster en version, der er forældet. Det kan i værste fald betyde at brugeren bruger programmerne med forkert vejledning, hvilket vil medføre, at computeren crasher.

Endelig vil jeg generelt også sige, at man ikke bør råde folk til at bruge disse værktøjer, hvis man ikke er parat til at give en ganske detaljeret opfølgende rådgivning om, hvordan de bruges. For man kan altså ikke bare nøjes med at "køre" disse programmer.

mvh
Ejvind -- Team Spywarefri

Jeg er spændt på reaktionen her.

Mathilda>> Følg denne vejledning:
http://www.spywarefri.dk/forum/links/hjtanv.htm
Det er den originale, uden fup og fiduser, og vi er ikke mindre end tre fra Spywarefri her nu, så vi skal nok tage os af logfilerne.

Hej Fromsej,

Hvad  er P2P og fildelings programmer? - Jeg er på trådløst netværk hjemme vha.  Belkin 11Mbps Wireless Notebook Network Adapter, som er tilsluttet via Microsoft Network.

Skal det deaktiveres før scanningen?

Malwarebytes  fandt intet,  derfor ingen logfil
Fra DDS.txt:

DDS (Ver_09-02-01.01) - NTFSx86 
Run by Torben at 16:16:18,28 on 04-02-2009
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_11
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.511.246 [GMT 1:00]

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning disabled* (Updated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\Programmer\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmer\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmer\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programmer\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmer\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmer\F-Secure\Common\FSMA32.EXE
C:\Programmer\F-Secure\Anti-Virus\fssm32.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\McAfee\SiteAdvisor\McSACore.exe
C:\Programmer\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
C:\Programmer\SMART Technologies\SMART Board Drivers\UCService.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe
C:\Programmer\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Windows Desktop Search\WindowsSearch.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programmer\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programmer\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\F-Secure\Common\FSLAUNCH.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Torben\Skrivebord\Spywarefri\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.dmi.dk/dmi/index/danmark.htm
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
uURLSearchHooks: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} -
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programmer\fælles filer\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: CIEDownload Object: {67bcf957-85fc-4036-8dc4-d4d80e00a77b} - c:\programmer\smart technologies\notebook software\NotebookPlugin.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programmer\java\jre6\bin\ssv.dll
BHO: McAfee SiteAdvisor BHO: {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programmer\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programmer\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: McAfee SiteAdvisor Toolbar: {0ebbbe48-bad4-4b4c-8e5a-516abecae064} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
EB: &Opslag: {ff059e31-cc5a-4e2e-bf3b-96e929d65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
mRun: [ATIPTA] c:\programmer\ati technologies\ati control panel\atiptaxx.exe
mRun: [F-Secure Manager] "c:\programmer\f-secure\common\FSM32.EXE" /splash
mRun: [SunJavaUpdateSched] "c:\programmer\java\jre6\bin\jusched.exe"
mRun: [ISUSPM Startup] c:\progra~1\fllesf~1\instal~1\update~1\ISUSPM.exe -startup
mRun: [ISUSScheduler] "c:\programmer\fælles filer\installshield\updateservice\issch.exe" -start
mRun: [Ad-Watch] c:\programmer\lavasoft\ad-aware\AAWTray.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\adobeg~1.lnk - c:\programmer\fælles filer\adobe\calibration\Adobe Gamma Loader.exe
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\window~1.lnk - c:\programmer\windows desktop search\WindowsSearch.exe
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\winzip~1.lnk - c:\programmer\winzip\WZQKPICK.EXE
IE: &Block this popup - c:\programmer\f-secure\anti-spyware\blockpopups.htm
IE: E&ksporter til Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {300DB664-75B5-47c0-8B45-A44ACCF73C00} - {0928F506-07E8-470c-979D-147C296D4879} - c:\programmer\f-secure\anti-spyware\ieshield.dll
IE: {7F9DB11C-E358-4ca6-A83D-ACC663939424} - {9999A076-A9E2-4C99-8A2B-632FC9429223}
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab
DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} - hxxps://www.lsb.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab}
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195312146300
DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197039597989
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} - hxxp://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab
DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} - hxxp://support.f-secure.com/ols/fscax.cab
DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} - hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\McIEPlg.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\programmer\windows desktop search\MSNLNamespaceMgr.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\torben\applic~1\mozilla\firefox\profiles\t0hg0037.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dmi.dk/dmi/index/danmark.htm
FF - component: c:\documents and settings\torben\application data\mozilla\firefox\profiles\t0hg0037.default\extensions\{7e7165e2-0767-448c-852f-5fa8714f2c37}\components\PlainOldFavorites.dll
FF - component: c:\programmer\mcafee\siteadvisor\components\McFFPlg.dll
FF - plugin: c:\_gamle programmapper fra gammel hd\programmer\mozilla firefox\plugins\npnul32.dll
FF - plugin: c:\_gamle programmapper fra gammel hd\programmer\mozilla firefox\plugins\NPOFFICE.DLL
FF - plugin: c:\programmer\mozilla firefox\plugins\npdbplug.dll
FF - plugin: c:\windows\system32\dnaml\npdbplug.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000

============= SERVICES / DRIVERS ===============

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-2-1 64160]
R1 avgio;avgio;c:\programmer\avira\antivir personaledition classic\avgio.sys [2008-12-29 11840]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Scheduler;c:\programmer\avira\antivir personaledition classic\sched.exe [2008-12-29 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard;c:\programmer\avira\antivir personaledition classic\avguard.exe [2008-12-29 151297]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmer\f-secure\anti-virus\win2k\FSfilter.sys [2008-4-26 48816]
R2 F-Secure Gatekeeper Handler Starter;FSGKHS;c:\programmer\f-secure\anti-virus\fsgk32st.exe [2008-4-26 45056]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\f-secure\anti-virus\win2k\fsgk.sys [2008-4-26 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\f-secure\anti-virus\win2k\FSrec.sys [2008-4-26 16720]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programmer\lavasoft\ad-aware\AAWService.exe [2009-1-18 950096]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programmer\mcafee\siteadvisor\McSACore.exe [2009-2-2 203280]
R2 SMART Display Controller;SMART Display Controller;c:\programmer\smart technologies\smart board drivers\UCService.exe [2008-4-3 402728]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-1-31 603904]
R3 ati2mtai;ati2mtai;c:\windows\system32\drivers\ati2mtai.sys [2007-11-17 346752]
R3 avgntflt;avgntflt;c:\programmer\avira\antivir personaledition classic\avgntflt.sys [2008-12-29 52032]
R3 maestro;ESS Maestro Audio Driver (WDM);c:\windows\system32\drivers\es198xdl.sys [2002-1-13 414720]
R3 PCMCIABKPCMXP;Belkin 11Mbps Wireless Notebook Network Adapter;c:\windows\system32\drivers\bkpcmxp.sys [2008-9-22 75291]
S2 0033151233665452mcinstcleanup;McAfee Application Installer Cleanup (0033151233665452);c:\windows\temp\003315~1.exe c:\progra~1\fllesf~1\mcafee\instal~1\cleanup.ini -cleanup -nolog -service --> c:\windows\temp\003315~1.exe c:\progra~1\fllesf~1\mcafee\instal~1\cleanup.ini -cleanup -nolog -service [?]
S2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\f-secure\backweb\7681197\program\SERVIC~1.EXE [2008-4-26 32807]
S3 Ad-Watch Connect Filter;Ad-Watch Connect Kernel Filter;\??\c:\windows\system32\drivers\nsdriver.sys --> c:\windows\system32\drivers\NSDriver.sys [?]
S3 atimtai;atimtai;c:\windows\system32\drivers\atimtai.sys [2007-11-17 281600]
S3 F-Secure Network Request Broker;F-Secure Network Request Broker;c:\programmer\f-secure\common\FNRB32.exe [2008-4-26 110642]
S3 Netcom3;NetCom3 Service; [x]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-11-18 7808]
S3 SMART SNMP Agent Service;SMART SNMP Agent Service;c:\programmer\smart technologies\smart board drivers\SMARTSNMPAgent.exe [2008-4-3 1008936]
S3 SMART Web Server;SMART-webserver;c:\programmer\smart technologies\smart board drivers\WebServer.exe [2008-4-3 1209640]

=============== Created Last 30 ================

2009-02-04 14:43    <DIR>    --d-----    c:\docume~1\torben\applic~1\Malwarebytes
2009-02-04 14:42    15,504    a-------    c:\windows\system32\drivers\mbam.sys
2009-02-04 14:42    38,496    a-------    c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 14:42    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-02-04 14:42    <DIR>    --d-----    c:\programmer\Malwarebytes' Anti-Malware
2009-02-03 23:26    322    a-------    c:\windows\dantts.ini
2009-02-02 12:23    <DIR>    --d-----    C:\fsaua.data
2009-02-02 11:40    <DIR>    --d-----    c:\programmer\Exterminate It!
2009-02-02 11:34    <DIR>    --d-----    c:\programmer\fælles filer\McAfee
2009-02-02 11:32    <DIR>    --d-----    c:\programmer\McAfee
2009-02-01 17:01    15,688    a-------    c:\windows\system32\lsdelete.exe
2009-02-01 15:06    64,160    a-------    c:\windows\system32\drivers\Lbd.sys
2009-02-01 14:57    <DIR>    -cd-h---    c:\docume~1\alluse~1\applic~1\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-01 14:57    <DIR>    --d-----    c:\programmer\Lavasoft
2009-01-31 11:50    603,904    a-------    c:\windows\system32\TUProgSt.exe
2009-01-31 11:50    27,904    a-------    c:\windows\system32\uxtuneup.dll
2009-01-31 11:50    360,192    a-------    c:\windows\system32\TuneUpDefragService.exe
2009-01-31 11:50    <DIR>    --d-----    c:\docume~1\torben\applic~1\TuneUp Software
2009-01-31 11:49    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\TuneUp Software
2009-01-31 11:49    <DIR>    --d-----    c:\programmer\TuneUp Utilities 2009
2009-01-31 11:48    <DIR>    --dsh---    c:\docume~1\alluse~1\applic~1\{55A29068-F2CE-456C-9148-C869879E2357}
2009-01-29 14:58    0    a-------    c:\documents and settings\torben\temp.dat
2009-01-19 21:05    <DIR>    --d-----    C:\090119TdokuDELLdrevD02
2009-01-19 20:02    <DIR>    --d-----    C:\090119TdokuDELLdrevD01
2009-01-19 19:46    <DIR>    --d-----    C:\090110TdokuDELLdrevD04
2009-01-19 19:46    <DIR>    --d-----    C:\090110TdokuDELLdrevD03
2009-01-19 19:46    <DIR>    --d-----    C:\090110TdokuDELLdrevD02
2009-01-19 19:46    <DIR>    --d-----    C:\090110TdokuDELLdrevD01
2009-01-19 19:44    <DIR>    --d-----    c:\windows\AiOTemp
2009-01-19 01:39    <DIR>    --d-----    c:\windows\AiOTemp(2)
2009-01-18 19:33    <DIR>    --d-----    c:\windows\system32\NtmsData
2009-01-16 16:27    <DIR>    --d-----    c:\programmer\Duplicate File Finder
2009-01-11 01:21    18,411    a-------    c:\windows\system32\hpo5500a.aio
2009-01-11 01:21    18,411    a-------    c:\windows\system32\hpo5400a.aio
2009-01-11 01:21    18,411    a-------    c:\windows\system32\hpo5300a.aio
2009-01-09 18:59    <DIR>    --d-----    c:\docume~1\torben\applic~1\LaCie
2009-01-09 18:53    <DIR>    --d-----    c:\programmer\LaCie
2009-01-08 16:03    0    a-------    c:\windows\system32\w32apiw.dll
2009-01-08 16:03    <DIR>    --d-----    c:\docume~1\torben\applic~1\nCleaner
2009-01-08 16:02    <DIR>    --d-----    c:\programmer\NKProds

==================== Find3M  ====================

2009-01-31 12:48    474,730    a-------    c:\windows\system32\perfh006.dat
2009-01-31 12:48    95,346    a-------    c:\windows\system32\perfc006.dat
2008-12-18 19:28    410,984    a-------    c:\windows\system32\deploytk.dll
2008-12-11 11:57    333,952    a-------    c:\windows\system32\drivers\srv.sys
2008-01-12 21:47    5    a--sh---    c:\windows\system32\ecaaf4_d.dll

============= FINISH: 16:17:00,55 ===============

Du er ved at indeksere alle filer, det sløver maskinen af H til, og har ikke den store nytteværdi, luk for MS indekseringsservice.
Det gør du ved at klikke Start -> Kør og skrive services.msc i tekstfeltet og klikke "ok".
Find indekseringstjenesten - stop den og sæt den derefter til manuel start (højreklik, vælg egenskaber og vælg starttype "Manuelt").

Afinstaller Avira AntiVir, det duer ikke med to antivirusprogrammer på maskinen.
Genstart.


Hent Combofix, og gem den i en mappe:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Åbn mappen, højreklik, vælg Ny->tekstdokument, åbn tekstdokumentet, kopier følgende ind:

Killall::
Snapshot::
DDS::
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File

klik på Filer->Gem som, navngiv den CFScript, luk tekstdokumentet.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den fremkomne log herind.

Lytter lige med...

fromsej,

Det ser voldsomt ud,  men  jeg  prøver.
Kan det lille CFScript du  sender bruges  på en anden computer  også?

mathilda

Ikke selve CSFScriptet, da infektionen er forskellig fra pc til pc - selv om der kan være tale om samme "snavs".

Fromsej


combofix log åbnede ikke  selv, og jeg måtte søge den, den lå på  documents and settings  . . . . /temp

nå, men her  er combofix log, jeg  er spændt på om den er ok:

ComboFix 09-02-04.01 - Torben 2009-02-04 21:55:19.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1030.18.511.231 [GMT 1:00]
Kører fra: c:\documents and settings\Torben\Skrivebord\Spywarefri\combofix\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Torben\Skrivebord\Spywarefri\combofix\CFScript.txt
AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning disabled* (Updated)
* Dannede nyt systemgendannelsespunkt
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Torben\Application Data\.#
c:\documents and settings\Torben\Application Data\.#\MBX@FEC@3D41C8.###
c:\documents and settings\Torben\Application Data\.#\MBX@FEC@3D41F8.###
c:\documents and settings\Torben\Application Data\.#\MBX@FEC@3D4228.###
c:\windows\system32\dbxDgrevCheck.dll
c:\windows\system32\w32apiw.dll

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Netcom3


(((((((((((((((((((((((((((((  Filer skabt fra 2009-01-04 til 2009-02-04  )))))))))))))))))))))))))))))))))))
.

2009-02-04 14:43 . 2009-02-04 14:43    <DIR>    d--------    c:\documents and settings\Torben\Application Data\Malwarebytes
2009-02-04 14:42 . 2009-02-04 14:43    <DIR>    d--------    c:\programmer\Malwarebytes' Anti-Malware
2009-02-04 14:42 . 2009-02-04 14:42    <DIR>    d--------    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-04 14:42 . 2009-01-14 16:11    38,496    --a------    c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 14:42 . 2009-01-14 16:11    15,504    --a------    c:\windows\system32\drivers\mbam.sys
2009-02-03 23:26 . 2009-02-03 23:26    322    --a------    c:\windows\dantts.ini
2009-02-02 12:23 . 2009-02-02 12:23    <DIR>    d--------    C:\fsaua.data
2009-02-02 11:47 . 2009-02-02 11:47    <DIR>    d--------    c:\documents and settings\LocalService\Application Data\SACore
2009-02-02 11:40 . 2009-02-02 12:11    <DIR>    d--------    c:\programmer\Exterminate It!
2009-02-02 11:34 . 2009-02-02 11:34    <DIR>    d--------    c:\programmer\Fælles filer\McAfee
2009-02-02 11:34 . 2009-02-02 11:34    <DIR>    d--------    c:\documents and settings\All Users\Application Data\SiteAdvisor
2009-02-02 11:32 . 2009-02-02 11:33    <DIR>    d--------    c:\programmer\McAfee
2009-02-02 11:32 . 2009-02-02 11:34    <DIR>    d--------    c:\documents and settings\All Users\Application Data\McAfee
2009-02-01 17:01 . 2009-02-01 15:06    15,688    --a------    c:\windows\system32\lsdelete.exe
2009-02-01 15:06 . 2009-02-01 15:05    64,160    --a------    c:\windows\system32\drivers\Lbd.sys
2009-02-01 14:57 . 2009-02-01 14:57    <DIR>    d--------    c:\programmer\Lavasoft
2009-02-01 14:57 . 2009-02-01 14:57    <DIR>    d--h-c---    c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-31 11:50 . 2009-01-31 11:50    <DIR>    d--------    c:\documents and settings\Torben\Application Data\TuneUp Software
2009-01-31 11:50 . 2009-01-31 11:50    603,904    --a------    c:\windows\system32\TUProgSt.exe
2009-01-31 11:50 . 2009-01-31 11:50    360,192    --a------    c:\windows\system32\TuneUpDefragService.exe
2009-01-31 11:50 . 2008-12-11 13:31    27,904    --a------    c:\windows\system32\uxtuneup.dll
2009-01-31 11:49 . 2009-01-31 11:50    <DIR>    d--------    c:\programmer\TuneUp Utilities 2009
2009-01-31 11:49 . 2009-01-31 11:49    <DIR>    d--------    c:\documents and settings\All Users\Application Data\TuneUp Software
2009-01-31 11:48 . 2009-01-31 11:48    <DIR>    d--hs----    c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2009-01-29 14:58 . 2009-02-02 23:42    0    --a------    c:\documents and settings\Torben\temp.dat
2009-01-19 21:05 . 2009-01-19 21:05    <DIR>    d--------    C:\090119TdokuDELLdrevD02
2009-01-19 20:02 . 2009-01-19 20:02    <DIR>    d--------    C:\090119TdokuDELLdrevD01
2009-01-19 19:46 . 2009-01-19 19:46    <DIR>    d--------    C:\090110TdokuDELLdrevD04
2009-01-19 19:46 . 2009-01-19 19:46    <DIR>    d--------    C:\090110TdokuDELLdrevD03
2009-01-19 19:46 . 2009-01-19 19:46    <DIR>    d--------    C:\090110TdokuDELLdrevD02
2009-01-19 19:46 . 2009-01-19 19:46    <DIR>    d--------    C:\090110TdokuDELLdrevD01
2009-01-19 19:44 . 2009-01-19 19:44    <DIR>    d--------    c:\windows\AiOTemp
2009-01-19 01:39 . 2009-01-19 19:44    <DIR>    d--------    c:\windows\AiOTemp(2)
2009-01-18 19:33 . 2009-01-18 19:33    <DIR>    d--------    c:\windows\system32\NtmsData
2009-01-16 16:27 . 2009-01-19 19:45    <DIR>    d--------    c:\programmer\Duplicate File Finder
2009-01-11 01:21 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5500a.aio
2009-01-11 01:21 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5400a.aio
2009-01-11 01:21 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5300a.aio
2009-01-09 18:59 . 2009-01-09 18:59    <DIR>    d--------    c:\documents and settings\Torben\Application Data\LaCie
2009-01-09 18:53 . 2009-01-09 18:53    <DIR>    d--------    c:\programmer\LaCie
2009-01-09 18:53 . 2009-01-09 18:53    <DIR>    d--------    c:\documents and settings\All Users\Application Data\InstallShield
2009-01-08 16:03 . 2009-01-08 16:03    <DIR>    d--------    c:\documents and settings\Torben\Application Data\nCleaner
2009-01-08 16:02 . 2009-01-08 16:02    <DIR>    d--------    c:\programmer\NKProds

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-04 13:36    ---------    d-----w    c:\programmer\SkoleKom
2009-02-03 23:32    ---------    d-----w    c:\programmer\Mikrov
2009-02-01 13:56    ---------    d-----w    c:\programmer\Fælles filer\Wise Installation Wizard
2009-01-26 23:50    ---------    d-----w    c:\programmer\Mplus
2009-01-19 01:16    ---------    d-----w    c:\programmer\Hewlett-Packard
2009-01-09 17:53    ---------    d-----w    c:\programmer\Fælles filer\InstallShield
2009-01-02 09:56    ---------    d-----w    c:\programmer\CCleaner
2008-12-29 20:09    ---------    d-----w    c:\programmer\Fælles filer\Diskeeper Corporation
2008-12-29 20:09    ---------    d-----w    c:\documents and settings\All Users\Application Data\Diskeeper Corporation
2008-12-18 18:46    ---------    d-----w    c:\programmer\Java
2008-12-18 13:58    ---------    d-----w    c:\programmer\IObit
2008-12-17 16:26    ---------    d-----w    c:\documents and settings\Torben\Application Data\IObit
2008-12-15 15:44    ---------    d-----w    c:\documents and settings\All Users\Application Data\WinZip
2008-12-12 13:29    ---------    d-----w    c:\programmer\Bonjour
2008-12-11 10:57    333,952    ----a-w    c:\windows\system32\drivers\srv.sys
2008-12-10 16:20    ---------    d--h--w    c:\programmer\InstallShield Installation Information
2008-12-09 17:02    ---------    d-----w    c:\programmer\TopOCR
2008-12-06 11:55    ---------    d-----w    c:\programmer\NOS
2008-12-06 11:55    ---------    d-----w    c:\documents and settings\All Users\Application Data\NOS
2008-12-05 23:40    ---------    d-----w    c:\programmer\Fælles filer\Adobe
2008-01-12 20:47    5    --sha-w    c:\windows\system32\ecaaf4_d.dll
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-27 294912]
"F-Secure Manager"="c:\programmer\F-Secure\Common\FSM32.EXE" [2005-10-26 122929]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-12-18 136600]
"ISUSPM Startup"="c:\progra~1\FLLESF~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-14 221184]
"ISUSScheduler"="c:\programmer\Fælles filer\InstallShield\UpdateService\issch.exe" [2004-06-14 81920]
"Ad-Watch"="c:\programmer\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-01 509784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menuen Start\Programmer\Start\
Adobe Gamma Loader.lnk - c:\programmer\F‘lles filer\Adobe\Calibration\Adobe Gamma Loader.exe [2008-03-06 110592]
Windows Search.lnk - c:\programmer\Windows Desktop Search\WindowsSearch.exe [2008-05-26 123904]
WinZip Quick Pick.lnk - c:\programmer\WinZip\WZQKPICK.EXE [2008-09-23 415072]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programmer\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ      autocheck lsdelete\0autocheck lsdelete\0autocheck lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmer\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmer\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmer\\F-Secure\\BackWeb\\7681197\\program\\F-Secure Automatic Update.exe"=
"c:\\Programmer\\SMART Technologies\\SMART Board Drivers\\SMARTSNMPAgent.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-01 64160]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmer\F-Secure\Anti-Virus\win2k\FSfilter.sys [2008-04-26 48816]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\F-Secure\Anti-Virus\win2k\fsgk.sys [2008-04-26 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\F-Secure\Anti-Virus\win2k\FSrec.sys [2008-04-26 16720]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programmer\McAfee\SiteAdvisor\McSACore.exe [2009-02-02 203280]
R2 SMART Display Controller;SMART Display Controller;c:\programmer\SMART Technologies\SMART Board Drivers\UCService.exe [2008-04-03 402728]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-31 603904]
R3 ati2mtai;ati2mtai;c:\windows\system32\drivers\ati2mtai.sys [2007-11-17 346752]
R3 maestro;ESS Maestro Audio Driver (WDM);c:\windows\system32\drivers\es198xdl.sys [2002-01-13 414720]
S2 0033151233665452mcinstcleanup;McAfee Application Installer Cleanup (0033151233665452);c:\windows\TEMP\003315~1.EXE c:\progra~1\FLLESF~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service --> c:\windows\TEMP\003315~1.EXE c:\progra~1\FLLESF~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service [?]
S2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2008-04-26 32807]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programmer\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
S3 atimtai;atimtai;c:\windows\system32\drivers\atimtai.sys [2007-11-17 281600]
S3 PCMCIABKPCMXP;Belkin 11Mbps Wireless Notebook Network Adapter;c:\windows\system32\drivers\bkpcmxp.sys [2008-09-22 75291]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-11-18 7808]
S3 SMART SNMP Agent Service;SMART SNMP Agent Service;c:\programmer\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe [2008-04-03 1008936]
S3 SMART Web Server;SMART-webserver;c:\programmer\SMART Technologies\SMART Board Drivers\WebServer.exe [2008-04-03 1209640]

--- Andre Services/Drivers i Hukommelsen ---

*Deregistered* - wscsvc
*Deregistered* - WSearch
*Deregistered* - wuauserv
*Deregistered* - WZCSVC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E4C88F5-F8EB-45C5-A0B3-08BC50AB9B1E}]
c:\windows\system32\msiexec.exe  /fup {9E4C88F5-F8EB-45C5-A0B3-08BC50AB9B1E} /q
.
Indhold af mappen 'Planlagte Opgaver'

2009-02-04 c:\windows\Tasks\1-Click Maintenance.job
- c:\programmer\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 21:36]

2009-02-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programmer\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-01 15:05]

2009-02-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-02-04 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\F-Secure\ANTI-V~1\fsav.exe [2005-05-24 15:42]

2009-02-01 c:\windows\Tasks\SmartDefrag.job
- c:\programmer\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2008-12-09 00:07]

2009-02-01 c:\windows\Tasks\SmartDefrag.job
- c:\programmer\IObit\IObit SmartDefrag\ [2008-12-18 14:58]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.dmi.dk/dmi/index/danmark.htm
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Block this popup - c:\programmer\F-Secure\Anti-Spyware\blockpopups.htm
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} - hxxps://www.lsb.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
FF - ProfilePath - c:\documents and settings\Torben\Application Data\Mozilla\Firefox\Profiles\t0hg0037.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dmi.dk/dmi/index/danmark.htm
FF - component: c:\documents and settings\Torben\Application Data\Mozilla\Firefox\Profiles\t0hg0037.default\extensions\{7E7165E2-0767-448c-852F-5FA8714F2C37}\components\PlainOldFavorites.dll
FF - component: c:\programmer\McAfee\SiteAdvisor\components\McFFPlg.dll
FF - plugin: c:\programmer\Mozilla Firefox\plugins\npdbplug.dll
FF - plugin: c:\windows\system32\DNAML\npdbplug.dll

---- FIREFOX POLITIKKER ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-04 22:06:22
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
------------------------ Andre kørende processer ------------------------
.
c:\programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmer\Bonjour\mDNSResponder.exe
c:\programmer\Diskeeper Corporation\Diskeeper\DkService.exe
c:\programmer\F-Secure\Anti-Virus\fsgk32st.exe
c:\programmer\F-Secure\Anti-Virus\fsgk32.exe
c:\programmer\F-Secure\common\FSMA32.EXE
c:\programmer\F-Secure\Anti-Virus\fssm32.exe
c:\programmer\Java\jre6\bin\jqs.exe
c:\programmer\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
c:\windows\system32\searchindexer.exe
c:\windows\system32\wscntfy.exe
c:\programmer\F-Secure\common\FSLAUNCH.EXE
.
**************************************************************************
.
Gennemført tid: 2009-02-04 22:10:10 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-02-04 21:10:05

Pre-Kørsel: 22.812.557.312 byte ledig
Post-Kørsel: 22,974,111,744 byte ledig

WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

226    --- E O F ---    2009-01-19 19:17:54

Jeg er ked af at jeg åbenbart hostede nogle filer der var forældede, med hensyn til at spørge om tilladelse, så er filerne da så vidt jeg ved frie at distribuere, og desuden kunne jeg ikke finde et link til en opdateret udgave af de pågældende filer på www.spywarefri.dk, hvis du har et sådant må du da meget gerne give mig det.
Filen er naturligvis slettet på min server nu ! :)

@phahh3_2: Alt i orden. Angående distributionsrettigheder, kan man sige, at FBJ ikke fået lagt en licens/copyright på dem. Derfor er de principielt set muligvis "public domain", hvorfor din hostning vel i juridisk forstand ikke var ulovlig. Men stadig er det god netetik, at spørge om lov, inden man gør det. FBJ har jo trods alt lagt noget arbejde i at lave dem, hvorfor han vel har en vis (om ikke andet) moralsk ret til at have styr på sine ting.

Ydermere, så er det helt unødvendigt at hoste dem. De til enhver tid mest opdaterede udgaver af filerne og vejledningen ligger jo åbent tilgængelige her:
http://www.ctrlaltdel.dk/SWF_hent.exe
http://www.spywarefri.dk/forum/links/dds.htm

Særligt det sidste link, kan jeg godt undre mig over, du ikke har kunnet finde, når du tilsyneladende er forholdsvis opdateret på, hvad der foregår inde på spywarefri. Det ligger ude i roden af forum, og optræder også i rigtig mange tråde derinde.

Dette er plukket direkte fra Exterminate it´s egen side, under Download.
Note: Dear users please note that Exterminate It! is free to scan and detect the malware in your system. Malware removal is a paid feature.

Oversat til dansk, det er gratis at scanne og konstatere*) malware, skal det fjernes koster det!

*) Det kan betyde, og gør det oftest, at programmet viser malware, der rent faktisk ikke er til stede, kun med det formål at få folk til at købe det.
Vi kunne ikke drømme om at bruge et værktøj af den tvivlsomme kaliber, så hvad det har fundet eller ej, vil jeg tage fuldstændig roligt.

-----------------------------------

Din log er ren. Hvis dine problemer er væk, så er det tid til lidt oprydning. Hent denne lille fil og gem den i roden af dit C-drev (C:\SWF_oprydning.exe):

http://www.ctrlaltdel.dk/SWF_oprydning.exe

Dobbeltklik på SWF_oprydning.exe og følg vejledningen som programmet giver (de programmer vi har bedt dig om at hente, vil blive fjernet). Når programmet er færdigt med at rydde op vil Notesblok åbne en log så du kan se, hvad der er blevet fjernet.

Genstart din computer for at afslutte oprydningen....

Når det er gjort skal du rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=4&PN=1) - vent et par minutter - aktiver systemgendannelse. Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Systemgendannelse og lav et systemgendannelsespunkt, så du har det at vende tilbage til, hvis noget går galt.

Du får et par gode råd om sikker surfing med på vejen:

http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

God fornøjelse

Hej Fromsej

Tak for din vejledning 5 febr 16:52

Det er rart at vide at der ikke var noget snavs, men det har alligevel givet Dell'en ganske meget mere liv-
Jeg har imidlertid to computere: en lille Medion akoya som er med på arbejde, og den større Dell, som nu må blive hjemme, - jeg kalder den "slæbbar". Vi har nu renset Dellen. Selvom der måske ikke er fjernet noget har det hjulpet helt gevaldigt på hastigheden.

Kunne du hjælpe mig med at få akoyaen med på noderne også? Så vil jeg rydde op på Dell'en efter din sidste vejledning.
- - -  og så skal jeg spørge, hvordan jeg giver points for denne hjælp?


Jeg har renset akoyaen med CCleaner, afinstalleret Avira AntiVir, stoppet indexeringen og kørt Malwarebytes og DDS.scr

Malwarebytes  fandt intet,  derfor ingen logfil
Fra DDS.txt:


DDS (Ver_09-02-01.01) - NTFSx86 
Run by Torben Haslund at 19:04:12,40 on 05-02-2009
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_11
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.1013.542 [GMT 1:00]

AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning disabled* (Updated)

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\Programmer\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programmer\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programmer\F-Secure\Common\FSMA32.EXE
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\F-Secure\Anti-Virus\fssm32.exe
C:\Programmer\McAfee\SiteAdvisor\McSACore.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programmer\Fighters\configservice.exe
C:\Programmer\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programmer\Fighters\licenseservice.exe
C:\Programmer\Fighters\updateservice.exe
C:\Programmer\Fighters\ScannerService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\HomeCinema\PowerDVD\PDVDServ.exe
C:\Programmer\System Control Manager\MGSysCtrl.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\Fighters\spywarefighter\SpywarefighterUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programmer\F-Secure\Common\FSLAUNCH.EXE
C:\Documents and Settings\Torben Haslund\Skrivebord\Spywarefri\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.aldi.dk/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Page_URL = hxxp://www.aldi.dk/
mStart Page = hxxp://www.aldi.dk/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s
uURLSearchHooks: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\programmer\yahoo!\companion\installs\cpn\yt.dll
BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\programmer\yahoo!\companion\installs\cpn\yt.dll
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programmer\fælles filer\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programmer\java\jre6\bin\ssv.dll
BHO: Hjælp til tilmelding til Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programmer\fælles filer\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\programmer\google\googletoolbar1.dll
BHO: McAfee SiteAdvisor BHO: {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programmer\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programmer\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: &Google: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\programmer\google\googletoolbar1.dll
TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\programmer\yahoo!\companion\installs\cpn\yt.dll
TB: McAfee SiteAdvisor Toolbar: {0ebbbe48-bad4-4b4c-8e5a-516abecae064} - c:\progra~1\mcafee\sitead~1\mcieplg.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [ISUSPM] "c:\programmer\fælles filer\installshield\updateservice\ISUSPM.exe" -scheduler
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [SynTPEnh] c:\programmer\synaptics\syntp\SynTPEnh.exe
mRun: [QuickFinder Scheduler] "c:\programmer\wordperfect office x3\programs\QFSCHD130.EXE"
mRun: [UCam_Menu] "c:\programmer\homecinema\youcam\muitransfer\muistartmenu.exe" "c:\programmer\homecinema\youcam" update "software\cyberlink\youcam\1.0"
mRun: [RemoteControl] c:\programmer\homecinema\powerdvd\PDVDServ.exe
mRun: [LanguageShortcut] c:\programmer\homecinema\powerdvd\language\Language.exe
mRun: [MGSysCtrl] c:\programmer\system control manager\MGSysCtrl.exe
mRun: [Google Desktop Search] "c:\programmer\google\google desktop search\GoogleDesktop.exe" /startup
mRun: [toolbar_eula_launcher] c:\program files\googleeula\EULALauncher.exe
mRun: [Adobe Reader Speed Launcher] "c:\programmer\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [F-Secure Manager] "c:\programmer\f-secure\common\FSM32.EXE" /splash
mRun: [F-Secure TNB] "c:\programmer\f-secure\tnb\TNBUtil.exe" /CHECKALL /WAITFORSW
mRun: [SunJavaUpdateSched] "c:\programmer\java\jre6\bin\jusched.exe"
mRun: [Ad-Watch] c:\programmer\lavasoft\ad-aware\AAWTray.exe
mRun: [spywarefighterguard] c:\programmer\fighters\spywarefighter\SpywarefighterUser.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\torben~1\menuen~1\progra~1\start\secuni~1.lnk - c:\programmer\secunia\psi\psi.exe
IE: &Block this popup - c:\programmer\f-secure\anti-spyware\blockpopups.htm
IE: E&ksporter til Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: Open with WordPerfect - c:\programmer\wordperfect office x3\programs\WPLauncher.hta
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmer\messenger\msmsgs.exe
IE: {300DB664-75B5-47c0-8B45-A44ACCF73C00} - {0928F506-07E8-470c-979D-147C296D4879} - c:\programmer\f-secure\anti-spyware\ieshield.dll
IE: {7F9DB11C-E358-4ca6-A83D-ACC663939424} - {9999A076-A9E2-4C99-8A2B-632FC9429223} - c:\programmer\bonjour\ExplorerPlugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - c:\programmer\yahoo!\common\Yinsthelper200711281.dll
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211820792937
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219487878437
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} - hxxp://support.f-secure.com/ols/fscax.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~1\mcafee\sitead~1\McIEPlg.dll
Notify: igfxcui - igfxdev.dll
AppInit_DLLs: c:\progra~1\google\google~2\GOEC62~1.DLL
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\torben~1\applic~1\mozilla\firefox\profiles\7en90tnw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dmi.dk/dmi/index/danmark.htm
FF - component: c:\documents and settings\torben haslund\application data\mozilla\firefox\profiles\7en90tnw.default\extensions\{7e7165e2-0767-448c-852f-5fa8714f2c37}\components\PlainOldFavorites.dll
FF - component: c:\programmer\mozilla firefox\components\GoogleDesktopMozilla.dll

============= SERVICES / DRIVERS ===============

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-2-1 64160]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmer\f-secure\anti-virus\win2k\FSfilter.sys [2008-12-28 48816]
R2 F-Secure Gatekeeper Handler Starter;FSGKHS;c:\programmer\f-secure\anti-virus\fsgk32st.exe [2008-12-28 45056]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\f-secure\anti-virus\win2k\fsgk.sys [2008-12-28 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\f-secure\anti-virus\win2k\FSrec.sys [2008-12-28 16720]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programmer\mcafee\siteadvisor\McSACore.exe [2009-2-2 206096]
R2 Micro Star SCM;Micro Star SCM;c:\programmer\system control manager\MSIService.exe [2008-8-23 159744]
R2 PTK License-FIGHTERS-37333603;PTK License-FIGHTERS-37333603;c:\programmer\fighters\LicenseService.exe [2008-11-18 283272]
R2 PTK Live Update-FIGHTERS-37333603;PTK Live Update-FIGHTERS-37333603;c:\programmer\fighters\UpdateService.exe [2008-11-18 307848]
R2 PTK Scanner-FIGHTERS-37333603;PTK Scanner-FIGHTERS-37333603;c:\programmer\fighters\ScannerService.exe [2008-11-18 311944]
R2 PTK SharedAccess-FIGHTERS-37333603;PTK SharedAccess-FIGHTERS-37333603;c:\programmer\fighters\ConfigService.exe [2008-11-18 139912]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2008-8-23 156160]
R3 Vfscan;Vfscan;c:\windows\system32\drivers\vffilter.sys [2008-11-18 15496]
S2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\f-secure\backweb\7681197\program\SERVIC~1.EXE [2008-12-28 32807]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programmer\lavasoft\ad-aware\AAWService.exe [2009-1-18 950096]
S3 BGRaSvc;BGRaSvc;"c:\programmer\bullguard software\bullguard\support\bgrasvc.exe" --> c:\programmer\bullguard software\bullguard\support\bgrasvc.exe [?]
S3 F-Secure Network Request Broker;F-Secure Network Request Broker;c:\programmer\f-secure\common\FNRB32.exe [2008-12-28 110642]
S3 GoogleDesktopManager-061008-081103;Google Desktop-administrator 5.7.806.10245;c:\programmer\google\google desktop search\GoogleDesktop.exe [2008-8-25 29744]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-5-24 572416]

=============== Created Last 30 ================

2009-02-04 15:22    <DIR>    --d-----    c:\docume~1\torben~1\applic~1\Malwarebytes
2009-02-04 15:21    15,504    a-------    c:\windows\system32\drivers\mbam.sys
2009-02-04 15:21    38,496    a-------    c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 15:21    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-02-04 15:21    <DIR>    --d-----    c:\programmer\Malwarebytes' Anti-Malware
2009-02-03 22:08    <DIR>    --d-----    c:\programmer\Fighters
2009-02-03 22:08    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Fighters
2009-02-03 21:45    <DIR>    --d-----    c:\programmer\Secunia
2009-02-03 17:32    <DIR>    --d-----    c:\programmer\Exterminate It!
2009-02-02 14:16    <DIR>    --d-----    C:\fsaua.data
2009-02-02 12:54    <DIR>    --d-----    c:\programmer\fælles filer\McAfee
2009-02-02 12:53    <DIR>    --d-----    c:\programmer\McAfee
2009-02-02 12:42    <DIR>    --d-----    c:\docume~1\torben~1\applic~1\SiteAdvisor
2009-02-01 22:26    15,688    a-------    c:\windows\system32\lsdelete.exe
2009-02-01 21:22    64,160    a-------    c:\windows\system32\drivers\Lbd.sys
2009-02-01 21:19    <DIR>    -cd-h---    c:\docume~1\alluse~1\applic~1\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-01 21:19    <DIR>    --d-----    c:\programmer\Lavasoft
2009-01-18 18:36    <DIR>    --d-----    c:\programmer\Bonjour
2009-01-16 12:39    <DIR>    --d-----    c:\docume~1\torben~1\applic~1\Sync App Settings
2009-01-16 12:37    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Sync App Settings
2009-01-16 12:36    <DIR>    --d-----    c:\programmer\Allway Sync
2009-01-12 12:27    83    a-------    c:\windows\topocr.INI
2009-01-12 12:20    <DIR>    --d-----    c:\programmer\TopOCR
2009-01-12 11:20    <DIR>    --d-----    c:\programmer\ToniArts
2009-01-12 10:50    <DIR>    --d-----    c:\programmer\MSECache
2009-01-10 23:45    2,622    a-------    c:\windows\DevMgr.ini
2009-01-10 23:44    12,928    ac------    c:\windows\system32\dllcache\dot4prt.sys
2009-01-10 23:44    12,928    a-------    c:\windows\system32\drivers\Dot4Prt.sys
2009-01-10 23:44    324,608    ac------    c:\windows\system32\dllcache\hpojwia.dll
2009-01-10 23:44    324,608    a-------    c:\windows\system32\hpojwia.dll
2009-01-10 23:44    8,704    ac------    c:\windows\system32\dllcache\dot4scan.sys
2009-01-10 23:44    8,704    a-------    c:\windows\system32\drivers\Dot4scan.sys
2009-01-10 23:44    23,936    ac------    c:\windows\system32\dllcache\dot4usb.sys
2009-01-10 23:44    23,936    a-------    c:\windows\system32\drivers\Dot4usb.sys
2009-01-10 23:44    206,976    ac------    c:\windows\system32\dllcache\dot4.sys
2009-01-10 23:44    206,976    a-------    c:\windows\system32\drivers\Dot4.sys
2009-01-10 23:38    90,112    a-------    c:\windows\system32\hpocon09.exe
2009-01-10 23:38    22,139    a-------    c:\windows\system32\hpocoi08.dll
2009-01-10 23:38    20    a-------    c:\windows\Hposcv07.INI
2009-01-10 22:35    18,411    a-------    c:\windows\system32\hpo5500a.aio
2009-01-10 22:35    18,411    a-------    c:\windows\system32\hpo5400a.aio
2009-01-10 22:35    18,411    a-------    c:\windows\system32\hpo5300a.aio

==================== Find3M  ====================

2008-12-28 20:00    118,842    -----r--    c:\windows\bwUnin-6.3.2.116-7681197L.exe
2008-12-12 11:18    87,336    a-------    c:\windows\system32\dns-sd.exe
2008-12-12 11:11    65,536    a-------    c:\windows\system32\jdns_sd.dll
2008-12-12 11:11    61,440    a-------    c:\windows\system32\dnssd.dll
2008-12-11 11:57    333,952    a-------    c:\windows\system32\drivers\srv.sys
2008-12-10 15:17    7,808    a-------    c:\windows\system32\drivers\psi_mf.sys
2008-11-10 05:43    410,984    a-------    c:\windows\system32\deploytk.dll
2008-08-23 10:37    8    ---shr--    c:\windows\system32\3901020172.sys
2008-11-03 18:10    4,026    a--sh---    c:\windows\system32\KGyGaAvL.sys
2008-08-25 02:05    32,768    a--sh---    c:\windows\system32\config\systemprofile\lokale indstillinger\application data\microsoft\feeds cache\index.dat
2008-10-29 19:27    32,768    a--sh---    c:\windows\system32\config\systemprofile\lokale indstillinger\oversigt\history.ie5\mshist012008102920081030\index.dat

============= FINISH: 19:04:55,62 ===============

Der er ikke noget i den log.

Ang. point, du skal acceptere mit svar, jeg ved faktisk ikke om det er på samme måde som i den "gamle" version, hvor der er en box med navn på den/de der har lagt svar.

Vil det sige, at det ikke er relevant at køre Combofix  ????


Du skal svare med  "SVAR"  og ikke    "KOMMENTAR"    for at jeg kan give points.....

Ups, der sov jeg lige.
Kør bare en tur med Combofix, og kopier loggen herind.

Fromsej,

ref:  Note #16 og dit svar  #19 ovenfor:

I #16 ovenfor viser jeg en DDS-log, og du foreslår i #19 at jeg kører en combofix. Men hvordan skal scriptet til combofix være?

*SUK*
Jeg skulle nok alligevel have snuppet en "morfar".

CFScript:

Killall::
Snapshot::

Så bliver loggen ikke så stor.

Det er tilladt at *SUKKE* der er plads til det . . .  ta' en smiley !!!

OBS: advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!  --> OG DET LYKKEDES MIG IKKE AT INSTALLERE DEN UNDER KØRSEL MED  COMBOFIX.  Jeg kunne ikke få netadgang.


KAN JEG MANUELT INSTALLERE GENOPRETTELSESKONSOL ?????


COMBOFIX log er her

ComboFix 09-02-04.01 - Torben Haslund 2009-02-06 23:21:12.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.1013.559 [GMT 1:00]
Kører fra: c:\documents and settings\Torben Haslund\Skrivebord\Spywarefri\combofix\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Torben Haslund\Skrivebord\Spywarefri\combofix\CFScript.txt
AV: F-Secure Anti-Virus Client Security 6.03 *On-access scanning disabled* (Updated)
* Dannede nyt systemgendannelsespunkt

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Torben Haslund\Application Data\.#
c:\windows\system32\bcacce4_d.dll
c:\windows\system32\bcfba0_g.dll

.
(((((((((((((((((((((((((((((  Filer skabt fra 2009-01-06 til 2009-02-06  )))))))))))))))))))))))))))))))))))
.

2009-02-04 15:22 . 2009-02-04 15:22    <DIR>    d--------    c:\documents and settings\Torben Haslund\Application Data\Malwarebytes
2009-02-04 15:21 . 2009-02-04 17:05    <DIR>    d--------    c:\programmer\Malwarebytes' Anti-Malware
2009-02-04 15:21 . 2009-02-04 15:21    <DIR>    d--------    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-04 15:21 . 2009-01-14 16:11    38,496    --a------    c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-04 15:21 . 2009-01-14 16:11    15,504    --a------    c:\windows\system32\drivers\mbam.sys
2009-02-03 22:08 . 2009-02-03 22:09    <DIR>    d--------    c:\programmer\Fighters
2009-02-03 22:08 . 2009-02-03 22:08    <DIR>    d--------    c:\documents and settings\All Users\Application Data\Fighters
2009-02-03 21:45 . 2009-02-03 21:45    <DIR>    d--------    c:\programmer\Secunia
2009-02-03 17:32 . 2009-02-06 17:12    <DIR>    d--------    c:\programmer\Exterminate It!
2009-02-02 14:16 . 2009-02-02 14:16    <DIR>    d--------    C:\fsaua.data
2009-02-02 13:35 . 2009-02-02 13:35    <DIR>    d--------    c:\documents and settings\LocalService\Application Data\SACore
2009-02-02 12:54 . 2009-02-02 12:54    <DIR>    d--------    c:\programmer\Fælles filer\McAfee
2009-02-02 12:53 . 2009-02-02 14:10    <DIR>    d--------    c:\programmer\McAfee
2009-02-02 12:42 . 2009-02-02 13:29    <DIR>    d--------    c:\documents and settings\Torben Haslund\Application Data\SiteAdvisor
2009-02-02 12:42 . 2009-02-02 12:42    <DIR>    d--------    c:\documents and settings\All Users\Application Data\SiteAdvisor
2009-02-02 12:42 . 2009-02-02 12:54    <DIR>    d--------    c:\documents and settings\All Users\Application Data\McAfee
2009-02-01 22:26 . 2009-02-01 21:22    15,688    --a------    c:\windows\system32\lsdelete.exe
2009-02-01 21:22 . 2009-02-01 21:22    64,160    --a------    c:\windows\system32\drivers\Lbd.sys
2009-02-01 21:19 . 2009-02-01 21:19    <DIR>    d--------    c:\programmer\Lavasoft
2009-02-01 21:19 . 2009-02-01 21:19    <DIR>    d--h-c---    c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-18 18:36 . 2009-01-18 18:36    <DIR>    d--------    c:\programmer\Bonjour
2009-01-18 18:36 . 2009-01-18 18:36    <DIR>    d--------    c:\programmer\Apple Software Update
2009-01-18 18:36 . 2009-01-18 18:36    <DIR>    d--------    c:\documents and settings\All Users\Application Data\Apple
2009-01-16 12:39 . 2009-01-16 12:39    <DIR>    d--------    c:\documents and settings\Torben Haslund\Application Data\Sync App Settings
2009-01-16 12:37 . 2009-01-16 12:37    <DIR>    d--------    c:\documents and settings\All Users\Application Data\Sync App Settings
2009-01-16 12:36 . 2009-01-16 12:37    <DIR>    d--------    c:\programmer\Allway Sync
2009-01-12 12:27 . 2009-01-12 13:42    83    --a------    c:\windows\topocr.INI
2009-01-12 12:20 . 2009-01-12 12:20    <DIR>    d--------    c:\programmer\TopOCR
2009-01-12 11:20 . 2009-01-12 11:20    <DIR>    d--------    c:\programmer\ToniArts
2009-01-12 10:50 . 2009-01-12 10:50    <DIR>    d--------    c:\programmer\MSECache
2009-01-10 23:45 . 2009-01-10 23:46    2,622    --a------    c:\windows\DevMgr.ini
2009-01-10 23:44 . 2001-10-04 17:07    324,608    --a------    c:\windows\system32\hpojwia.dll
2009-01-10 23:44 . 2001-10-04 17:07    324,608    --a--c---    c:\windows\system32\dllcache\hpojwia.dll
2009-01-10 23:44 . 2008-04-13 11:39    206,976    --a------    c:\windows\system32\drivers\Dot4.sys
2009-01-10 23:44 . 2008-04-13 11:39    206,976    --a--c---    c:\windows\system32\dllcache\dot4.sys
2009-01-10 23:44 . 2001-10-04 16:40    23,936    --a------    c:\windows\system32\drivers\Dot4usb.sys
2009-01-10 23:44 . 2001-10-04 16:40    23,936    --a--c---    c:\windows\system32\dllcache\dot4usb.sys
2009-01-10 23:44 . 2001-08-17 21:47    12,928    --a------    c:\windows\system32\drivers\Dot4Prt.sys
2009-01-10 23:44 . 2001-08-17 21:47    12,928    --a--c---    c:\windows\system32\dllcache\dot4prt.sys
2009-01-10 23:44 . 2001-08-17 21:47    8,704    --a------    c:\windows\system32\drivers\Dot4scan.sys
2009-01-10 23:44 . 2001-08-17 21:47    8,704    --a--c---    c:\windows\system32\dllcache\dot4scan.sys
2009-01-10 23:38 . 2002-11-20 18:52    90,112    --a------    c:\windows\system32\hpocon09.exe
2009-01-10 23:38 . 2002-11-20 18:52    22,139    --a------    c:\windows\system32\hpocoi08.dll
2009-01-10 23:38 . 2009-01-10 23:38    20    --a------    c:\windows\Hposcv07.INI
2009-01-10 22:35 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5500a.aio
2009-01-10 22:35 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5400a.aio
2009-01-10 22:35 . 2001-07-22 04:27    18,411    --a------    c:\windows\system32\hpo5300a.aio
2009-01-10 22:07 . 2009-01-10 22:07    <DIR>    d--------    c:\programmer\Hewlett-Packard

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-03 08:42    ---------    d-----w    c:\programmer\Mplus
2009-01-15 10:48    ---------    d-----w    c:\programmer\SkoleKom
2009-01-12 10:20    ---------    d--h--w    c:\programmer\InstallShield Installation Information
2009-01-08 10:24    ---------    d-----w    c:\programmer\Java
2008-12-29 12:41    ---------    d-----w    c:\documents and settings\All Users\Application Data\Lavasoft
2008-12-28 19:00    118,842    ------r    c:\windows\bwUnin-6.3.2.116-7681197L.exe
2008-12-28 19:00    ---------    d-----w    c:\programmer\F-Secure
2008-12-28 19:00    ---------    d-----w    c:\documents and settings\All Users\Application Data\F-Secure
2008-12-28 17:05    ---------    d-----w    c:\programmer\CCleaner
2008-12-27 10:54    ---------    d-----w    c:\programmer\RegSupreme Pro
2008-12-27 10:53    ---------    d-----w    c:\programmer\Windows Media Connect 2
2008-12-27 10:53    ---------    d-----w    c:\programmer\GeoGebra
2008-12-17 09:29    ---------    d-----w    c:\documents and settings\All Users\Application Data\Yahoo! Companion
2008-12-12 10:18    87,336    ----a-w    c:\windows\system32\dns-sd.exe
2008-12-12 10:11    65,536    ----a-w    c:\windows\system32\jdns_sd.dll
2008-12-12 10:11    61,440    ----a-w    c:\windows\system32\dnssd.dll
2008-12-11 10:57    333,952    ----a-w    c:\windows\system32\drivers\srv.sys
2008-12-10 14:17    7,808    ----a-w    c:\windows\system32\drivers\psi_mf.sys
2008-12-07 08:46    ---------    d-----w    c:\programmer\Yahoo!
2008-11-10 04:43    410,984    ----a-w    c:\windows\system32\deploytk.dll
2008-11-15 19:25    122,880    ----a-w    c:\programmer\mozilla firefox\components\GoogleDesktopMozilla.dll
2008-08-23 09:37    8    --sh--r    c:\windows\system32\3901020172.sys
2008-11-03 17:10    4,026    --sha-w    c:\windows\system32\KGyGaAvL.sys
2008-08-25 01:05    32,768    --sha-w    c:\windows\system32\config\systemprofile\Lokale indstillinger\Application Data\Microsoft\Feeds Cache\index.dat
2008-10-29 18:27    32,768    --sha-w    c:\windows\system32\config\systemprofile\Lokale indstillinger\Oversigt\History.IE5\MSHist012008102920081030\index.dat
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"SynTPEnh"="c:\programmer\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096]
"MGSysCtrl"="c:\programmer\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336]
"Google Desktop Search"="c:\programmer\Google\Google Desktop Search\GoogleDesktop.exe" [2008-11-15 29744]
"toolbar_eula_launcher"="c:\program files\GoogleEULA\EULALauncher.exe" [2007-02-09 16896]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"F-Secure Manager"="c:\programmer\F-Secure\Common\FSM32.EXE" [2005-10-26 122929]
"F-Secure TNB"="c:\programmer\F-Secure\TNB\TNBUtil.exe" [2004-05-27 684032]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmer\\F-Secure\\BackWeb\\7681197\\program\\F-Secure Automatic Update.exe"=
"c:\\Programmer\\Bonjour\\mDNSResponder.exe"=

R0 iaStor;Intel AHCI Controller;c:\windows\system32\drivers\iaStor.sys [2007-09-29 308248]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-01 64160]
R1 WmiAcpi;Microsoft Windows Management Interface for ACPI;c:\windows\system32\drivers\wmiacpi.sys [2008-05-26 8832]
R2 F-Secure Filter;F-Secure File System Filter;c:\programmer\F-Secure\Anti-Virus\win2k\FSfilter.sys [2008-12-28 48816]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\F-Secure\Anti-Virus\win2k\fsgk.sys [2008-12-28 48256]
R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\F-Secure\Anti-Virus\win2k\FSrec.sys [2008-12-28 16720]
R2 FSMA;F-Secure Management Agent;c:\programmer\F-Secure\common\FSMA32.EXE [2008-12-28 61490]
R2 JavaQuickStarterService;Java Quick Starter;c:\programmer\Java\jre6\bin\jqs.exe [2008-12-02 152984]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programmer\McAfee\SiteAdvisor\McSACore.exe [2009-02-02 206096]
R2 Micro Star SCM;Micro Star SCM;c:\programmer\System Control Manager\MSIService.exe [2008-08-23 159744]
R2 ProtexisLicensing;ProtexisLicensing;c:\windows\system32\PSIService.exe [2006-11-02 174656]
R2 PTK License-FIGHTERS-37333603;PTK License-FIGHTERS-37333603;c:\programmer\Fighters\LicenseService.exe [2008-11-18 283272]
R2 PTK Live Update-FIGHTERS-37333603;PTK Live Update-FIGHTERS-37333603;c:\programmer\Fighters\UpdateService.exe [2008-11-18 307848]
R2 PTK Scanner-FIGHTERS-37333603;PTK Scanner-FIGHTERS-37333603;c:\programmer\Fighters\ScannerService.exe [2008-11-18 311944]
R2 PTK SharedAccess-FIGHTERS-37333603;PTK SharedAccess-FIGHTERS-37333603;c:\programmer\Fighters\ConfigService.exe [2008-11-18 139912]
R2 RichVideo;Cyberlink RichVideo Service(CRVS);c:\programmer\Cyberlink\Shared files\RichVideo.exe [2008-05-28 171040]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;c:\programmer\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2007-02-02 118784]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2008-08-23 156160]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver;c:\windows\system32\drivers\Rtenicxp.sys [2008-05-26 106368]
R3 SynTP;Synaptics TouchPad Driver;c:\windows\system32\drivers\SynTP.sys [2008-05-26 220128]
R3 Vfscan;Vfscan;c:\windows\system32\drivers\vffilter.sys [2008-11-18 15496]
S2 BackWeb Plug-in - 7681197;F-Secure Automatic Update;c:\progra~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2008-12-28 32807]
S2 fsbwsys;fsbwsys;c:\programmer\F-Secure\BackWeb\7681197\program\fsbwsys.exe [2008-12-28 270428]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programmer\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
S3 BGRaSvc;BGRaSvc;"c:\programmer\BullGuard Software\BullGuard\support\bgrasvc.exe" --> c:\programmer\BullGuard Software\BullGuard\support\bgrasvc.exe [?]
S3 dot4;MS IEEE-1284.4-driver;c:\windows\system32\drivers\Dot4.sys [2009-01-10 206976]
S3 Dot4Print;Printerklassedriver til IEEE-1284.4;c:\windows\system32\drivers\Dot4Prt.sys [2009-01-10 12928]
S3 Dot4Scan;Scannerklassedriver til IEEE-1284.4;c:\windows\system32\drivers\Dot4scan.sys [2009-01-10 8704]
S3 dot4usb;Dot4USB-filter Dot4USB Filter;c:\windows\system32\drivers\Dot4usb.sys [2009-01-10 23936]
S3 GoogleDesktopManager-061008-081103;Google Desktop-administrator 5.7.806.10245;c:\programmer\Google\Google Desktop Search\GoogleDesktop.exe [2008-08-25 29744]
S3 NdisIP;Microsoft TV/Video-forbindelse;c:\windows\system32\drivers\NdisIP.sys [2008-05-26 10880]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-05-24 572416]
S3 SLIP;BDA Slip De-Framer;c:\windows\system32\drivers\SLIP.sys [2008-05-26 11136]
S3 Tosrfcom;Tosrfcom; [x]
S3 usbvideo;USB-videoenhed (WDM);c:\windows\system32\drivers\usbvideo.sys [2008-05-26 121984]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{816e40ce-2b3d-11dd-96c7-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E4C88F5-F8EB-45C5-A0B3-08BC50AB9B1E}]
c:\windows\system32\msiexec.exe  /fup {9E4C88F5-F8EB-45C5-A0B3-08BC50AB9B1E} /q
.
Indhold af mappen 'Planlagte Opgaver'

2009-02-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programmer\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-01 21:22]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.aldi.dk/
mStart Page = hxxp://www.aldi.dk/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s
IE: &Block this popup - c:\programmer\F-Secure\Anti-Spyware\blockpopups.htm
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Open with WordPerfect - c:\programmer\WordPerfect Office X3\Programs\WPLauncher.hta
FF - ProfilePath - c:\documents and settings\Torben Haslund\Application Data\Mozilla\Firefox\Profiles\7en90tnw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.dmi.dk/dmi/index/danmark.htm
FF - component: c:\documents and settings\Torben Haslund\Application Data\Mozilla\Firefox\Profiles\7en90tnw.default\extensions\{7E7165E2-0767-448c-852F-5FA8714F2C37}\components\PlainOldFavorites.dll
FF - component: c:\programmer\Mozilla Firefox\components\GoogleDesktopMozilla.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 23:27:18
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'explorer.exe'(3776)
c:\programmer\McAfee\SiteAdvisor\saHook.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\programmer\Bonjour\mDNSResponder.exe
c:\programmer\F-Secure\Anti-Virus\fsgk32st.exe
c:\programmer\F-Secure\Anti-Virus\fsgk32.exe
c:\programmer\F-Secure\Anti-Virus\fssm32.exe
c:\programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programmer\F-Secure\common\FSLAUNCH.EXE
.
**************************************************************************
.
Gennemført tid: 2009-02-06 23:29:59 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-02-06 22:29:44

Pre-Kørsel: 134.654.676.992 byte ledig
Post-Kørsel: 134,809,882,624 byte ledig

215    --- E O F ---    2009-01-13 21:26:27

Det var nu mig selv jeg sukkede af. ;-)

Der er ikke mere at komme efter i loggen.

Du kan sagtens selv installere genoprettelseskonsol, sæt din XP i drevet, klik på start kør og skriv følgende ind:
D:\i386\winnt32.exe /cmdcons
Klik på OK.
Du skal udskifte D med det bogstav drevet har.

Fromsej,

Nu har du hjulpet med at checke (og rense) to computere på et spørgsmål. Jeg vil derfor gerne give nogle ekstra points.

Hvordan gør jeg det? - Skal jeg oprette et nyt spørgsmål, som du så svarer på og lægge pointene der  ??

Mathilda

Du behøver ikke at give flere point, de betyder ikke så meget for mig, jeg er her for at hjælpe, og selv få hjælp. :-)

Så takker jeg for denne gang,

det har været en fornøjelse, at træffe dig.

Mathilda

http://www.eksperten.dk/spm/862334#reply_7320436
"Det er tilladt at *SUKKE* der er plads til det . . .  ta' en smiley !!!

OBS: advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!  --> OG DET LYKKEDES MIG IKKE AT INSTALLERE DEN UNDER KØRSEL MED  COMBOFIX.  Jeg kunne ikke få netadgang.


KAN JEG MANUELT INSTALLERE GENOPRETTELSESKONSOL ?????"

http://www.eksperten.dk/guide/448

Tak for point. :-)