Trojaner Rootkit Agent.DI

Du kan prøve at forsøge dig med ComboFix:
http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen, kopier teksten fra den log herind i tråden.
Vi skal også se en log fra HijackThis.

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

1. Hent nyeste version af HijackThis ned til skrivebordet

2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.

3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.

4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.

5. Efter et kort øjeblik åbner en logfil i notesblok, kopier teksten herind.

6. Hvis du ikke selv vælger at gemme loggen på skrivebordet, bliver den automatisk gemt på destinationen: C:/Programmer/hijackthis.log hvor du senere kan finde den.

http://sptlarsenserious.googlepages.com/HJT-sfx.exe

PS: (Vistabrugere skal klikke med højre-musetast på filen og vælge (Kør som administrator)

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

--Hent Combofix, og gem den på dit skrivebord:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Luk alle andre vinduer ned.

Kør så Combofix.exe, og følg anvisningerne. (Vistabrugere skal klikke med højre-musetast på filen og vælge (Kør som administrator)

Vigtigt-> Deaktiver dit antivirus/antispyware program. Da det/de kan "forstyrre" og konflikte med Combofix, eller fjerne vigtige Combofix filer, hvilket kan få computeren til fryse.

Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\ Combofix txt

Hvis logfilen ikke åbnes så finder du den her c:\combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Jeg lytter lige med her.

Hmmmm...
Virker som en større omgang.
Godt jeg er forkølet og sidder hjemme med vandet løbende ud af trynen. Kunne måske også bruge et god råd mod den form for virus!
Er mest lun på den med dansk vejledning, så jeg må vel se at komme i gang.

Du spørger bare hvis du er i tvivl.
Vi har en "Ekspert" med på en lytter.

Ok. Så kom jeg så langt. Ganske gnidningsfrit, må jeg sige.
Hermed log-filerne;

Malwarebytes' Anti-Malware 1.36
Database version: 1989
Windows 5.1.2600 Service Pack 3

16-04-2009 10:53:33
mbam-log-2009-04-16 (10-53-33).txt

Skan type: Fuldstændig skanning (C:\|E:\|F:\|)
Objekter skannet: 138424
Tid tilbagelagt: 32 minute(s), 9 second(s)

Inficerede Hukommelses Processer: 2
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 1
Inficerede Registeringsdatabase Værdier: 2
Inficerede Registeringsdatabase Filer: 1
Inficerede Mapper: 0
Inficerede Filer: 6

Inficerede Hukommelses Processer:
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Unloaded process successfully.
C:\Documents and Settings\Preben\reader_s.exe (Trojan.Agent) -> Unloaded process successfully.

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Filer:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: digiwet.dll -> Quarantined and deleted successfully.

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Documents and Settings\Preben\reader_s.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Preben\Lokale indstillinger\Temp\ptu14.tmp.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Preben\Lokale indstillinger\Temp\ptu67.tmp.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Preben\Lokale indstillinger\Temp\ptuB.tmp.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\digiwet.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:02:37, on 16-04-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Spyware Doctor\pctsAuxs.exe
C:\Programmer\Spyware Doctor\pctsSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Linksys\WMP300N\WLService.exe
C:\Programmer\Linksys\WMP300N\WMP300N.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmer\Spyware Doctor\pctsTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programmer\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programmer\QuickTime\qttask.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\Zinio\ZinioDeliveryManager.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\Fælles filer\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Fælles filer\Teleca Shared\Generic.exe
C:\Programmer\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
C:\lotus\wordpro\ltsstart.exe
C:\lotus\register\remind32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\HJTrenamed.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ni.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmer\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmer\AVG\AVG8\avgtoolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programmer\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [NPCTray] C:\Norman\npc\bin\npc_tray.exe /LOAD
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programmer\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmer\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programmer\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Zinio DLM] C:\Programmer\Zinio\ZinioDeliveryManager.exe /autostart
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKLM\..\Policies\Explorer\Run: [wininet.dll] dfrgsrv.exe
O4 - HKLM\..\Policies\Explorer\Run: [nvctrl.exe] nvctrl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Startup: Lotus SmartSuite 97 Registration.lnk = C:\lotus\register\remind32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programmer\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Åbn billede i &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1030\phdintl.dll/phdContext.htm
O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Programmer\expektMPP\MPPoker.exe (file missing)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmer\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Preben\Skrivebord\InterCasino $$$.lnk (file missing)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Preben\Skrivebord\InterCasino $$$.lnk (file missing)
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - http://www.intercasino.com (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - http://www.intercasino.com (file missing) (HKCU)
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flash.ladbrokescasino.com/ladbrokes/FlashAX.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp05.photoprintit.de/microsite/4066/defaults/activex/ImageUploader3.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://fotomail.billedbutikken.dk/upload/xupload/XUpload2101.ocx
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmer\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmer\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmer\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WMP300NSvc - GEMTEKS - C:\Programmer\Linksys\WMP300N\WLService.exe

--
End of file - 11108 bytes

Kommer der også en log fra Combofix.
Efter du har kørt Combofix så fix de linjer herunder, de er der måske ikke alle.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.


O4 - HKLM\..\Policies\Explorer\Run: [nvctrl.exe] nvctrl.exe
O4 - HKLM\..\Policies\Explorer\Run: [wininet.dll] dfrgsrv.exe
O4 - HKLM\..\Policies\Explorer\Run: [nvctrl.exe] nvctrl.exe
O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Programmer\expektMPP\MPPoker.exe (file missing
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePokerMaster\EmpirePoker\RunEPoker.exe (file missing)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Preben\Skrivebord\InterCasino $$$.lnk (file missing)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - C:\Documents and Settings\Preben\Skrivebord\InterCasino $$$.lnk (file missing)
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - http://www.intercasino.com (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: InterCasino $$$ - {909AAEB6-C2CB-4AB5-A7BB-C33B72AB4BFB} - http://www.intercasino.com (file missing) (HKCU)

Til #4:
The med Rom i er godt :)

Tak for rådet, John. hvis jeg ikke allerede havde fundet på det selv, skulle du ha´ point´sene.
Opdaterede Windows og vupti fandt microsoft windows værktøj den lille satan. Venter i øjeblikket på hvad den vil gøre ved den, når den en gang bliver færdig med at scanne.

Vender tilbage med combofix-log herefter.

Vi skal se den logfil fra Combofix, det kan være en meget grim infektion du har ?

Vender tilbage med combofix-log herefter.

Så kom jeg sgu ned på jorden igen.
Nyt spørgsmål; hvordan fanden får jeg deaktiveret AVG?

Og ja, det er en grim infektion. Tror det har sat sig i bihulerne
med en forbandet hovedpine til følge.

Højreklik på AVG ikon ved uret - Open AVG User Interface - gå ind under "Resident Shield"
fjern flueben ved "Resident Shield active" - klik "Save Changes".

Så er der combofix til alle...

ComboFix 09-04-16.02 - Preben 16-04-2009 17:12:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.1024.551 [GMT 2:00]
Kører fra: C:\Documents and Settings\Preben\Skrivebord\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)
FW: Norman Personal Firewall v. 1.4 *disabled*
* Dannede nyt systemgendannelsespunkt

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Preben\Application Data\Microsoft\SystemCertificates\Request
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\aaaamoni.exe
C:\WINDOWS\winhelp.ini

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NETMANASPNET_STATE
-------\Service_Netmanaspnet_state


(((((((((((((((((((((((((((((  Filer skabt fra 2009-03-16 til 2009-04-16  )))))))))))))))))))))))))))))))))))
.

2009-04-16 12:22:12 . 2009-04-16 12:22:12    217    ----a-w    C:\WINDOWS\system32\MRT.INI
2009-04-16 12:19:20 . 2009-02-06 10:10:02    227840    -c----w    C:\WINDOWS\system32\dllcache\wmiprvse.exe
2009-04-16 12:19:19 . 2009-03-06 14:20:58    284672    -c----w    C:\WINDOWS\system32\dllcache\pdh.dll
2009-04-16 12:19:19 . 2009-02-09 11:25:40    110592    -c----w    C:\WINDOWS\system32\dllcache\services.exe
2009-04-16 12:19:19 . 2009-02-09 10:53:27    473600    -c----w    C:\WINDOWS\system32\dllcache\fastprox.dll
2009-04-16 12:19:19 . 2009-02-09 10:53:27    401408    -c----w    C:\WINDOWS\system32\dllcache\rpcss.dll
2009-04-16 12:19:18 . 2009-02-09 10:53:28    730624    -c----w    C:\WINDOWS\system32\dllcache\lsasrv.dll
2009-04-16 12:19:18 . 2009-02-09 10:53:27    719360    -c----w    C:\WINDOWS\system32\dllcache\ntdll.dll
2009-04-16 12:19:18 . 2009-02-09 10:53:27    682496    -c----w    C:\WINDOWS\system32\dllcache\advapi32.dll
2009-04-16 12:19:18 . 2009-02-09 10:53:26    453120    -c----w    C:\WINDOWS\system32\dllcache\wmiprvsd.dll
2009-04-16 11:44:48 . 2009-04-16 12:04:39    32    --s-a-w    C:\WINDOWS\system32\1554210634.dat
2009-04-16 11:44:43 . 2009-04-16 11:44:43    18432    ----a-w    C:\WINDOWS\system32\digiwet.dll
2009-04-16 09:02:09 . 2007-07-06 16:39:56    401720    ----a-w    C:\Programmer\HJTrenamed.exe
2009-04-16 08:59:57 . 2009-03-27 06:53:33    1203922    -c----w    C:\WINDOWS\system32\dllcache\sysmain.sdb
2009-04-16 08:59:57 . 2008-04-21 21:15:43    217088    -c----w    C:\WINDOWS\system32\dllcache\wordpad.exe
2009-04-16 08:18:30 . 2009-04-16 08:18:30    0    d-----w    C:\Documents and Settings\Preben\Application Data\Malwarebytes
2009-04-16 08:18:26 . 2009-04-06 13:32:46    15504    ----a-w    C:\WINDOWS\system32\drivers\mbam.sys
2009-04-16 08:18:24 . 2009-04-06 13:32:54    38496    ----a-w    C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-04-16 08:18:23 . 2009-04-16 08:18:29    0    d-----w    C:\Programmer\Malwarebytes' Anti-Malware
2009-04-16 08:18:23 . 2009-04-16 08:18:23    0    d-----w    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-04-15 21:33:33 . 2009-04-15 21:33:33    0    d-sh--w    C:\Documents and Settings\Christian\IECompatCache
2009-04-15 21:32:44 . 2009-04-15 21:32:44    0    d-sh--w    C:\Documents and Settings\Christian\PrivacIE
2009-04-15 21:32:41 . 2009-04-15 21:33:39    0    d-----w    C:\Documents and Settings\Christian\Application Data\AVGTOOLBAR
2009-04-15 21:32:11 . 2009-04-15 21:32:11    0    d-sh--w    C:\Documents and Settings\Christian\IETldCache
2009-04-15 21:26:27 . 2009-04-15 21:26:27    0    d-sh--w    C:\Documents and Settings\LocalService\IETldCache
2009-04-15 21:22:20 . 2009-04-16 12:02:37    0    d---a-w    C:\Documents and Settings\All Users\Application Data\TEMP
2009-04-15 20:06:30 . 2009-04-15 20:06:30    0    d-sh--w    C:\Documents and Settings\Birgit\IECompatCache
2009-04-15 17:15:21 . 2009-04-15 17:15:21    0    d-sh--w    C:\Documents and Settings\Preben\IECompatCache
2009-04-13 10:34:25 . 2009-04-13 10:34:25    0    d-sh--w    C:\Documents and Settings\Birgit\PrivacIE
2009-04-13 10:33:02 . 2009-04-13 10:33:02    0    d-sh--w    C:\Documents and Settings\Birgit\IETldCache
2009-03-28 18:39:53 . 2009-03-28 18:39:53    0    d-sh--w    C:\Documents and Settings\Preben\PrivacIE
2009-03-28 18:35:19 . 2009-03-28 18:35:19    0    d-sh--w    C:\Documents and Settings\Preben\IETldCache
2009-03-28 18:33:11 . 2009-03-28 18:33:11    0    d-----w    C:\WINDOWS\ie8updates
2009-03-28 18:32:08 . 2009-03-28 18:32:19    0    dc-h--w    C:\WINDOWS\ie8
2009-03-28 18:29:47 . 2009-02-28 04:55:00    105984    -c----w    C:\WINDOWS\system32\dllcache\iecompat.dll
2009-03-21 14:08:56 . 2009-03-21 14:08:56    1006080    -c----w    C:\WINDOWS\system32\dllcache\kernel32.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-07 17:13:46 . 2006-09-05 20:35:54    0    d-----w    C:\Programmer\Java
2009-04-16 14:24:39 . 2006-10-27 17:14:36    0    d-----w    C:\Programmer\PokerStars
2009-04-16 13:56:57 . 2002-09-16 12:00:00    62474    ----a-w    C:\WINDOWS\system32\perfc006.dat
2009-04-16 13:56:57 . 2002-09-16 12:00:00    394772    ----a-w    C:\WINDOWS\system32\perfh006.dat
2009-04-16 09:02:37 . 2009-04-16 09:02:37    11110    ----a-w    C:\Programmer\hijackthis.log
2009-04-15 17:11:20 . 2002-09-16 12:00:00    213120    ----a-w    C:\WINDOWS\system32\drivers\ndis.sys
2009-04-14 14:10:02 . 2005-08-03 16:52:11    0    d-----w    C:\Documents and Settings\Preben\Application Data\Microgaming
2009-03-09 03:19:08 . 2009-01-07 09:39:36    410984    ----a-w    C:\WINDOWS\system32\deploytk.dll
2009-03-08 03:34:58 . 2004-02-06 16:07:46    914944    ----a-w    C:\WINDOWS\system32\wininet.dll
2009-03-08 03:34:30 . 2002-09-16 12:00:00    43008    ----a-w    C:\WINDOWS\system32\licmgr10.dll
2009-03-08 03:33:40 . 2002-09-16 12:00:00    18944    ----a-w    C:\WINDOWS\system32\corpol.dll
2009-03-08 03:33:06 . 2002-09-16 12:00:00    420352    ----a-w    C:\WINDOWS\system32\vbscript.dll
2009-03-08 03:32:56 . 2002-09-16 12:00:00    72704    ----a-w    C:\WINDOWS\system32\admparse.dll
2009-03-08 03:32:50 . 2002-09-16 12:00:00    71680    ----a-w    C:\WINDOWS\system32\iesetup.dll
2009-03-08 03:31:38 . 2002-09-16 12:00:00    34816    ----a-w    C:\WINDOWS\system32\imgutil.dll
2009-03-08 03:31:18 . 2002-09-16 12:00:00    48128    ----a-w    C:\WINDOWS\system32\mshtmler.dll
2009-03-08 03:31:02 . 2002-09-16 12:00:00    45568    ----a-w    C:\WINDOWS\system32\mshta.exe
2009-03-08 03:22:38 . 2002-09-16 12:00:00    156160    ----a-w    C:\WINDOWS\system32\msls31.dll
2009-03-06 14:20:58 . 2002-09-16 12:00:00    284672    ----a-w    C:\WINDOWS\system32\pdh.dll
2009-02-27 18:04:10 . 2009-01-06 13:37:53    0    d-----w    C:\Documents and Settings\All Users\Application Data\avg8
2009-02-27 18:02:48 . 2009-01-06 13:38:16    10520    ----a-w    C:\WINDOWS\system32\avgrsstx.dll
2009-02-27 18:02:47 . 2009-01-06 13:38:12    325128    ----a-w    C:\WINDOWS\system32\drivers\avgldx86.sys
2009-02-09 14:07:12 . 2002-09-16 12:00:00    1846784    ----a-w    C:\WINDOWS\system32\win32k.sys
2009-02-09 11:26:00 . 2002-09-09 14:07:26    2026496    ----a-w    C:\WINDOWS\system32\ntkrnlpa.exe
2009-02-09 11:25:42 . 2002-09-16 12:00:00    2147840    ----a-w    C:\WINDOWS\system32\ntoskrnl.exe
2009-02-09 11:25:40 . 2002-09-16 12:00:00    110592    ----a-w    C:\WINDOWS\system32\services.exe
2009-02-09 10:53:28 . 2002-09-16 12:00:00    730624    ----a-w    C:\WINDOWS\system32\lsasrv.dll
2009-02-09 10:53:27 . 2004-05-22 19:58:38    401408    ----a-w    C:\WINDOWS\system32\rpcss.dll
2009-02-09 10:53:27 . 2002-09-16 12:00:00    719360    ----a-w    C:\WINDOWS\system32\ntdll.dll
2009-02-09 10:53:27 . 2002-09-16 12:00:00    682496    ----a-w    C:\WINDOWS\system32\advapi32.dll
2009-02-06 10:39:08 . 2002-09-16 12:00:00    35328    ----a-w    C:\WINDOWS\system32\sc.exe
2009-02-03 19:58:19 . 2002-09-16 12:00:00    56832    ----a-w    C:\WINDOWS\system32\secur32.dll
2008-07-18 08:05:45 . 2006-04-07 21:19:37    76360    ----a-w    C:\Documents and Settings\Christian\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2007-10-15 16:41:55 . 2007-10-15 16:13:27    20    ---h--w    C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
2007-10-15 16:41:55 . 2007-10-15 16:05:18    20    ---h--w    C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT
2007-10-15 16:12:48 . 2006-02-03 10:50:20    76360    ----a-w    C:\Documents and Settings\Birgit\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2007-10-15 16:11:46 . 2004-10-12 16:33:09    76360    ----a-w    C:\Documents and Settings\Preben\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2006-04-07 21:19:26 . 2006-04-07 21:19:26    138    ----a-w    C:\Documents and Settings\Christian\Lokale indstillinger\Application Data\fusioncache.dat
2006-02-03 10:50:02 . 2006-02-03 10:50:02    135    ----a-w    C:\Documents and Settings\Birgit\Lokale indstillinger\Application Data\fusioncache.dat
2006-02-01 18:26:43 . 2006-02-01 18:26:43    135    ----a-w    C:\Documents and Settings\Preben\Lokale indstillinger\Application Data\fusioncache.dat
2004-05-23 10:31:00 . 2004-05-23 10:31:00    53470771    -c--a-w    C:\Programmer\NISTDC.exe
.

------- Sigcheck -------

[7] 2004-08-04 06:14:28    182912    558635D3AF1C7546D26067D5D9B6959E    C:\WINDOWS\$NtServicePackUninstall$\ndis.sys

• 2002-09-16 12:00:00    167552    3B350E5A2A5E951453F3993275A4523A    C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
  

[7] 2008-04-13 19:20:37    182656    1DF7F42665C94B825322FAE71721130D    C:\WINDOWS\ServicePackFiles\i386\ndis.sys

• 2009-04-15 17:11:20    213120    7AA2D6412B04A3B67284243AD056A587    C:\WINDOWS\system32\drivers\ndis.sys
  

.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 16:05:45 15360]
"MSMSGS"="C:\Programmer\Messenger\MSMSGS.EXE" [2008-04-14 16:05:55 1695232]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2006-04-07 21:18:02 1228800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programmer\Analog Devices\SoundMAX\SMTray.exe" [2002-10-11 16:26:56 98304]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 10:35:00 335872]
"TkBellExe"="C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" [2005-01-05 18:42:51 180269]
"ATICCC"="C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 13:43:58 45056]
"Sony Ericsson PC Suite"="C:\Programmer\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 15:17:24 159744]
"Adobe Photo Downloader"="C:\Programmer\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 22:46:24 57344]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2007-10-15 16:03:19 282624]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2009-02-27 18:02:39 1601304]
"SunJavaUpdateSched"="C:\Programmer\Java\jre6\bin\jusched.exe" [2009-03-09 03:19:17 148888]
"Logitech Utility"="Logi_MwX.Exe" - C:\WINDOWS\LOGI_MWX.EXE [2003-03-04 09:50:00 19968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 16:05:45 15360]

C:\Documents and Settings\Preben\Menuen Start\Programmer\Start\
Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-1-10 16384]
Lotus SmartSuite 97 Registration.lnk - C:\lotus\register\remind32.exe [1995-11-6 45056]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Adobe Reader Speed Launch.lnk - C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
InterVideo WinCinema Manager.lnk - C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe [2004-5-22 114688]
LUMIX Simple Viewer.lnk - C:\Programmer\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2006-4-12 57344]
Microsoft Office.lnk - C:\Programmer\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
NkbMonitor.exe.lnk - C:\Programmer\Nikon\PictureProject\NkbMonitor.exe [2007-10-15 118784]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programmer\SUPERAntiSpyware\SASSEH.DLL" [2006-02-16 14:51:08 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon]
2006-03-08 09:32:58    258048    ----a-w    C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-27 18:02:48    10520    ----a-w    C:\WINDOWS\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a2service.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ArcaCheck.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\arcavir.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashDisp.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashEnhcd.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashServ.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashUpd.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\aswUpdSv.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcls.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz4.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz_se.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdinit.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caav.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\casecuritycenter.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccupdate.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfpupdat.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cmdagent.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DRWEB32.EXE]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FAMEH32.EXE]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPAVServer.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fpscan.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPWin.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsav32.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsgk32st.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FSMA32.EXE]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxservice.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxup.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\navigator.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVSTUB.EXE]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Nvcc.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\preupd.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pskdr.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SfFnUp.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Vba32arkit.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vba32ldr.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zanda.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zapro.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zlh.exe]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zoneband.dll]
"Debugger"=ntsd -d

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders    msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digiwet.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmer\\AVG\\AVG8\\avgupd.exe"=

R2 LLXQSAOF;LLXQSAOF; [x]
R2 VVGDNCDZ;VVGDNCDZ; [x]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\System32\Drivers\avgldx86.sys [2009-02-27 18:02:47 325128]
S1 SASDIFSV;SASDIFSV;C:\Programmer\SUPERAntiSpyware\SASDIFSV.SYS [2006-02-16 14:51:08 5632]
S1 SASKUTIL;SASKUTIL;C:\Programmer\SUPERAntiSpyware\SASKUTIL.sys [2006-03-02 14:00:30 13824]
S2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-02-27 18:02:29 298264]
S2 WMP300NSvc;WMP300NSvc; [x]
S3 SASENUM;SASENUM;C:\Programmer\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 14:51:08 4096]
S3 WMP300Nv2;Linksys Wireless-N PCI Adapter WMP300Nv2 Service;C:\WINDOWS\system32\DRIVERS\WMP300Nv2.sys [2007-07-23 15:55:16 1297824]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - TOMME GENVEJE FJERNET - - - -

HKCU-Run-Zinio DLM - C:\Programmer\Zinio\ZinioDeliveryManager.exe
HKLM-Run-NPCTray - C:\Norman\npc\bin\npc_tray.exe


.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.ni.dk/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Åbn billede i &Microsoft PhotoDraw - C:\PROGRA~1\MICROS~2\Office\1030\phdintl.dll/phdContext.htm
IE: {{3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Programmer\expektMPP\MPPoker.exe
IE: {{A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
DPF: {A590956F-AE99-4419-BB39-3C721276C625} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp05.photoprintit.de/microsite/4066/defaults/activex/ImageUploader3.cab
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-16 17:16:23
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LLXQSAOF]
"ImagePath"="\??\C:\WINDOWS\system32\llxqsaof.icg"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VVGDNCDZ]
"ImagePath"="\??\C:\WINDOWS\system32\vvgdncdz.pbl"
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_USERS\S-1-5-21-329068152-515967899-1801674531-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,40,92,1b,43,7d,
  31,b9,da,c8,28,51,af,b0,29,a3,98,db,59,b7,fa,42,a9,05,72,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,76,ea,a8,da,f2,
  0f,54,3b,71,3b,04,66,8b,46,0d,96,56,58,f8,66,0d,09,1c,66,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,53,f6,06,75,f0,
  1d,1c,5d,25,da,ec,7e,55,20,c9,26,d3,74,7e,bb,dd,b8,99,4c,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:6b,65,49,6a,7e,99,74,f7,ec,b8,cd,71,b8,
  a0,56,84,3e,1e,9e,e0,57,5a,93,61,02,22,52,c2,67,ae,0b,c4,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,22,67,fb,74,03,
  43,4b,47,cd,44,cd,b9,a6,33,6c,cd,af,69,ac,d4,f1,55,32,54,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,ba,fa,9c,38,5b,
  f8,51,25,b0,18,ed,a7,3f,8d,37,a4,25,ee,de,8d,bd,c4,04,45,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,0d,93,d4,c4,c0,
  26,8e,2e,31,77,e1,ba,b1,f8,68,02,13,85,9c,92,35,91,b7,4a,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,6b,6e,06,3d,36,
  55,a4,c2,83,6c,56,8b,a0,85,96,ab,84,66,28,41,ed,65,e8,b6,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,c2,76,c7,9c,b7,
  d9,ed,25,51,fa,6e,91,28,9e,14,cc,e3,50,05,c6,40,88,0e,ae,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,55,5b,f6,eb,fa,
  8a,3a,08,b1,cd,45,5a,a8,c4,f8,b9,01,5b,63,8a,87,f0,d1,28,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,76,4f,d9,22,50,
  8a,f3,64,e3,0e,66,d5,eb,bc,2f,6b,26,e7,6a,7f,67,e0,2e,77,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="C:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,83,1c,56,d1,a3,
  73,d5,65,fa,ea,66,7f,d4,3b,6b,70,53,f4,0c,8b,20,80,27,98,6c,43,2d,1e,aa,22,\
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(528)
C:\WINDOWS\system32\Ati2evxx.dll
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2760)
C:\Programmer\Logitech\MouseWare\System\LgWndHk.dll
C:\WINDOWS\system32\ieframe.dll
C:\Programmer\Fælles filer\Logitech\Scrolling\LgMsgHk.dll
C:\WINDOWS\system32\webcheck.dll
C:\WINDOWS\system32\WPDShServiceObj.dll
C:\WINDOWS\system32\PortableDeviceTypes.dll
C:\WINDOWS\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\Linksys\WMP300N\WLService.exe
C:\Programmer\Linksys\WMP300N\WMP300N.exe
C:\Programmer\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programmer\Fælles filer\Teleca Shared\CapabilityManager.exe
C:\Programmer\Fælles filer\Teleca Shared\Generic.exe
C:\Programmer\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Gennemført tid: 2009-04-16 17:19:04 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-04-16 15:19:01

Pre-Kørsel: 30.650.392.576 byte ledig
Post-Kørsel: 31.294.820.352 byte ledig

384    --- E O F ---    2009-03-15 11:59:25

Prøv at gå ind på følgende hjemmeside:
http://www.virustotal.com/en/indexx.html

Klik på Gennemse, og klik dig så frem til C:\windows\system32\drivers\ndis.sys

Klik så Send. Så vil siden efter lidt tid begynde at scanne filen. Under scanningen vil der øverst på siden stå "STATUS: SCANNING". Når scanningen er færdig, vil der stå "STATUS: FINISHED". Kopier resultatet af scanningen herind i tråden (du kan markere teksten med musen, højreklikke på det markerede, og vælge "kopier"; herefter kan du paste indholdet herind).

Jeg kikker på den.

Så ikke lige din svar Ejvindh
Vil du køre videre her, så ølger jeg med ??

Har fundet filen C:\windows\system32\drivers\ndis.
Dog uden sys til sidst.
Når jeg prøver at uploade til virustotal stopper processen når der er uploaded 61.09 %. prøver nu for 3. gang og laver en kop te imens, så det ikke er min utålmodighed der er problemet. Er der noget at melde vedr. combofix-filen?

Lykkedes ej heller 3. gang.

Opret lige først en Backup af reg basen.
Start > Kør > Skriv regedit > Klik ok > Marker øverst "Denne computer" > Ud i filer > Eksporter > Giv din backup et navn.
Husk at deaktiver AVG før du kører Combofix.

Åbn et Notesblokvindue, kopiér indholdet med fed skrift ind i dokumentet, og gem indholdet samme sted, som Combofix ligger med navnet CFScript.txt Når du gemmer, skal du sikre, at der under "filtyper" står "alle filer".


Killall::
File::
C:\WINDOWS\system32\1554210634.dat ??
C:\WINDOWS\system32\digiwet.dll  ??
C:\WINDOWS\system32\llxqsaof.icg
C:\WINDOWS\system32\vvgdncdz.pbl
RootKit::
C:\WINDOWS\system32\1554210634.dat ??
C:\WINDOWS\system32\digiwet.dll  ??
C:\WINDOWS\system32\llxqsaof.icg
C:\WINDOWS\system32\vvgdncdz.pbl
Driver::
LLXQSAOF
VVGDNCDZ
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\LLXQSAOF]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\VVGDNCDZ]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a2service.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ArcaCheck.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\arcavir.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashDisp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashEnhcd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashServ.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashUpd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\aswUpdSv.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcls.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz4.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz_se.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdinit.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caav.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\casecuritycenter.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccupdate.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfpupdat.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cmdagent.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DRWEB32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FAMEH32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPAVServer.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fpscan.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPWin.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsav32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsgk32st.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FSMA32.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxservice.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxup.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\navigator.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVSTUB.EXE]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Nvcc.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\preupd.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pskdr.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SfFnUp.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Vba32arkit.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vba32ldr.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zanda.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zapro.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zlh.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zoneband.dll]
FCopy::
C:\WINDOWS\ServicePackFiles\i386\ndis.sys | c:\windows\system32\drivers\ndis.sys



Tag så fat i den nye fil med musen, og før den hen over ikonet for Combofix, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den logfil  herind.

@arkil: Ja, det var nu ikke fordi jeg ville kapre din tråd, for jeg synes bestemt det virkede til at du var på rette spor. Jeg kan godt fortsætte, men hvis du gerne vil have den tilbage, siger du bare til :-)

@pus: Der er mange ting i combofix-loggen. Det vi er ved at undersøge lige nu er, om det kan betale sig at rense. Jeg har mistanke om Virut-infektionen, som du kan læse om her:
http://www.spywarefri.dk/artikel/ramt-af-virut/

...men jeg tror dog at du slipper fri. Men jeg skal lige have nogle oplysninger, inden jeg kan afgøre det.

Prøv så følgende:
Gå ind på følgende hjemmeside:
http://virusscan.jotti.org/

Klik på Gennemse, og klik dig så frem til C:\WINDOWS\system32\drivers\ndis

Klik så Submit. Så kommer der en lille log over forskellige scanninger frem. Den må du gerne klippe ind i næste svar.

Nej, bliv endelig ved Ejvindh.
Nu ser jeg først din indlæg efter jeg har lagt min løsning ind.
Hvis du mener der er noget der skal rettes så sig endelig til.
Du kører bare tråden fra nu af.

pus > Vent med at køre min løsning til Ejvindh mener det er ok.

@pus

Håber ikke du er blevet forvirret.
Du skal udføre det som Ejvindh har lagt ind her 17. april 2009 kl. 13:16:38.
Når han ser dette resultat fra "jotti" kører han tråden videre.

Er i gang med Jotti, og så kom den her fætter frem;

Resident shield alert
Threat detected

filename: C:\windows\system32\digiwet.dll

threat name: trojan horse downloader. Generic8.AGxx
            detected on open

Og Jotti er frosset fast. nøjagtigt som med virustotal.

Kan filen ikke uploades når den er i virus vault?

Vent på Ejvindh, han har jo sit arbejde at passe.
Vi er opmærksom på den fil, den er med i min løsning, men vent på Ejvindh svarer.

Hent GravityGripp's ZipIt herfra:
http://www.urlhadtodie.com/wp-content/plugins/download-monitor/download.php?id=10
...og gem det på dit skrivebord. Kør så programmet, og paste linierne med fed ind i det vindue, der åbnes:

C:\WINDOWS\$NtServicePackUninstall$\ndis.sys
C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
C:\WINDOWS\ServicePackFiles\i386\ndis.sys
C:\WINDOWS\system32\drivers\ndis.sys

Klik så på knappen "Zip". Så dannes der en zip fil på dit skrivebord med navnet Preben.zip (muligvis kan du ikke se ".zip" endelsen)

Denne fil må du gerne sende til mig på denne email-adresse:
ejvindh [at] spywarefri.dk

(udskift [at] med @ )

Zipit siger jeg mangler en eller anden applikation for at kunne
åbne programmet.

Hvad er "en eller anden applikation"?

Nåh... det er .Net Framework 2.0 - hent det her: http://www.microsoft.com/downloads/details.aspx?FamilyID=0856EACB-4362-4B0D-8EDD-AAB15C5E04F5&displaylang=en

HUSK at vælge korrekt sprog...

Tak John. filen er på vej.

...og den er modtaget ;-)

Det viser sig, at du har denne her:
http://ejvindh.net/forum/viewthread.php?thread_id=194

Derfor fremstår dine ndis.sys filer som rene, når man scanner dem på virustotal. Men lad os nu se, om vi ikke kan knække nødden alligevel:

sUBs som laver Combofix har lavet en specialudgave af Combofix som muligvis kan tage infektionen. Men jeg skal lige spørge ham om jeg må bruge det i dit tilfælde (da det er lidt eksperimentelt stadigvæk). Men i mellemtiden kan du lige forberede din computer på at kunne køre fixet. Det gør du ved at installere gendannelses-konsollen:

Gendannelseskonsollen kan du installere på 3 måder:

(1) Enten ved at køre combofix igen, og så sige ja, når den tilbyder at installere det.

(2) Hvis dette ikke virker, så prøv dette:
Sæt din XP-CD i drevet, klik så på Start->Kør og skriv følgende:
XX:\i386\winnt32.exe /cmdcons <Enter>
Husk at ændre XX til det bogstav det drev du har sat XP-CDén i har.

(3) Alternativt (hvis ovenstående ikke virker), kan du hente denne fil, og gem den ved siden af Combofix (husk at vælge sprog svarende til sproget på dit styresystem):

UK: http://www.microsoft.com/downloads/details.aspx?FamilyId=15491F07-99F7-4A2D-983D-81C2137FF464&displaylang=en
DK: http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=15491f07-99f7-4a2d-983d-81c2137ff464

Træk så med musen den nye fil hen over combofix, og giv slip. Herefter skulle Combofix gerne give sig til at installere Gendannelseskonsollen.

Har nu prøvet forslag 1 og 3, men når jeg starter programmet kommer der kun en blå skærm og den blinkkende cursor. Lidt som i "gamle dage" med win 95. Om lidt står der sikkert; "en alvorlig undtagelseer sket på adressen jzkshcoa<nco<aæncvFY".
Så genstartede man comp. og håbede på det bedste. Bliver helt nostalgisk. Suk.

Har jeg forresten ikke allerede gendannelseskonsollen? Mener jeg blev bedt om det fæørste gang jeg kørte Combofix.

Ifølge combofix loggen, har du ikke installeret Gendannelseskonsollen. Muligvis har CF forsøgt, men det er mislykkedes :-)

Genoprettelseskonsol: http://www.eksperten.dk/guide/448

@pus
Fortæl lige om du har en XP cdrom.
Den net forbindelse du har kører den på kabel eller trådløs.
Har du fået installeret gendannelseskonsollen??

Jeg har nu fået tilladelse fra sUBs til at bruge hans fix. Derfor er det helt afgørende, at RC bliver installeret -- ellers vil det simpelthen ikke virke.

Prøv derfor om John_Stigers vejledning virker, og ellers meld lidt mere detaljeret tilbage, hvor langt du går, inden det går galt :-)

Hmmm.
Ja, jeg har en xp-cd, og min forbindelse er trådløs.
Og nej, jeg har ikke fået gendannelseskonsollen installeret endnu. Det virker en kende bøvlet, må jeg sige. Især når jeg først har tid sent om aftenen. Jeg er jo ikke sygemeldt længere.

Prøvede at fjerne AVG´s gratisversion, for at benytte F-secure i købeudgaven i stedet. Det havde jeg ikke videre held med.

Fik denne meddelelse ved forsøg på afinstallation af AVG;    Local machine: installation failed
Installation:Error: Action failed for registry key
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: creating registry key....Error       0x80070005

Ja, det er bøvlet, men det er altså også ét af de mest avancerede rootkits du har fået ind på din computer. Det er så vidt jeg ved den nemmeste metode, og jeg undrer mig lidt over, at du ikke kan få i det mindste version (2) til at installere RC til at virke. Hvilken fejl får du?

Jeg har vurderet at sUBs-metoden er den sikreste og nemmeste. Jeg kender til 3 alternative metoder. Den ene er mindre sikker (fordi den ikke er så gennemtestet). Den anden er mere besværlig -- og du kan også her risikere at ødelægge styresystemet helt. Den tredje vurderer jeg til at være forholdsvis sikker, men involverer at du skal lave en repair undervejs -- så også her skal du have gang i din XP-skive.

Men du bestemmer. Min vurdering er, at der ikke findes en nem metode til denne infektion. Så hvis du ikke har tid til nørde-metoderne, så er bedste løsning nok at formatere, og begynde forfra.

Hvilken SP står på den XP cdrom > 1 eller 2.
Hvilken fejlmelding får du når du prøver at installere den??

Overvejer lige forslaget med at formatere harddisken og begynde forfra. De eneste filer jeg ønsker at bevare er mine worddokumenter samt alle mine digitale fotos/film fra de sidste 5 år!
Billeder og film er på et særskilt drev, hvor der ikke lagres andet
5 års billeder, samt mine begrænsede it-færdigheder, gør det tillokkende at formatere skidtet. Jeg ved at jeg er i gode og særdeles professionelle hænder hos jer, drenge. Men det hele skulle jo nødigt ende med en "fejl 40".
Prøvede at køre viruscheck med Kaspersky´s online scanner der fandt 2 infektioner.
Umiddelbart før den første advarsel tikkede ind, har jeg brugt netbank og andre "følsomme" sager. Skal jeg helt undlade at bruge min pc?

Ifølge Symantec:
http://www.symantec.com/security_response/writeup.jsp?docid=2009-042000-2346-99&tabid=1
...skulle du nok undlade at bruge netbank på den i hvert fald:

"a Trojan horse that steals information"

Jeg ville nok også overveje at få lavet nyt login, og key til min netbank, hvis jeg var dig. Eller i hvert fald holde lidt øje med aktiviteterne på dine konti i den nærmeste fremtid (fra en ren computer).

Overvejer lige forslaget med at formatere harddisken og begynde forfra. De eneste filer jeg ønsker at bevare er mine worddokumenter samt alle mine digitale fotos/film fra de sidste 5 år!
Billeder og film er på et særskilt drev, hvor der ikke lagres andet
5 års billeder, samt mine begrænsede it-færdigheder, gør det tillokkende at formatere skidtet. Jeg ved at jeg er i gode og særdeles professionelle hænder hos jer, drenge. Men det hele skulle jo nødigt ende med en "fejl 40".
Prøvede at køre viruscheck med Kaspersky´s online scanner der fandt 2 infektioner.
Umiddelbart før den første advarsel tikkede ind, har jeg brugt netbank og andre "følsomme" sager. Skal jeg helt undlade at bruge min pc?

Hmm, kom til at indrykke den samme kommentar 2 gange. For meget arbejde. Har besluttet at disken skal ryddes, og vil derfor slutte denne tråd. Hvordan giver jeg points?
Starter nok et nyt emne vedrørende formatering af harddisken.
Stort tak for support!

Jeg springer over point her.