CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede kent_dahl Nybegynder
13. august 2009 - 11:54 Der er 18 kommentarer og
2 løsninger

Virus eller rester af Zone-alarm?

Jeg har for nyligt skiftet fra Zone-alarm over Windows-firewall til nu at afprøve F-secure. Men jeg har nogle mærkeværdige problemer:

Før F-secure: Det startede med at jeg hverken kunne installere opdatere eller logge på noget som helst. Jeg troede det mine internetindstillinger, der var f##kd up af mit nye modem fra Stofa, men jeg fandt intet usædvanligt i indstillingerne.

Heldigvis lod min computer mig installere F-secure, efter at jeg havde slettet rester af Zone-alarm. Nu har jeg så fået installeret Java, og jeg kan igen logge ind overalt + installere og opdatere det meste, MEN

jeg får stadig ikke lov at komme på hjemmesider fra Microsoft, Kaspersky, Spywarefri.dk og lignende. Og jeg får stadig ikke lov at opdatere på Windows XP og F-secure.

Er det internetindstillinger det er galt med? Eller har jeg virus/en trojan? Eller har jeg ikke fået slettet alt fra Zone-alarm? Problemerne virker så målrettede mod Microsoft og sikkerhedsfirmaer, at det vist ikke er en tilfældighed.
Avatar billede Slettet bruger
13. august 2009 - 12:04 #1
virus

tjek her: http://www.joestewart.org/cfeyechart.html
Avatar billede kent_dahl Nybegynder
13. august 2009 - 12:12 #2
Conficker B

Tak for det. Nu skal jeg så lige se, hvad jeg skal gøre ved den.
Avatar billede b-and Novice
13. august 2009 - 12:22 #3
Hent CCleaner her:
http://www.filehippo.com/download_ccleaner/

Installer CCleaner, og fjerne fluebenet udfor Yahoo Toolbar - ingen grund til at få det skrammel på.
Start > Fjern fluebenet i cookies.
Klik på kør Cleaner og lad den fjerne hvad den finder i både Windows og Programmer.  Kør et par gange eller til der ikke er mere og komme efter.
Klik så på Register ovre i venstre side (den blå terning), klik på Skan efter problemer, når den er færdig, klik på Udbedre valgte problemer, lav evt. en backup af registreringsdatabasen, klik så på udbedre alle valgte problemer.  Kør et par gange, eller til der ikke er mere og komme efter.
Klik på OK, klik på Luk når den er færdig.
Genstart.

-ooOoo-


Hent Malwarebytes Anti-Malware [url="http://www.spywarefri.dk/downloads1/mbam-setup.exe"]her[/url] og tryk på Kør

Installer programmet - når det er gjort skal du lade programmet opdatere sig.  Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde.  Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).

Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.

OBS!!  Ovenstående scanning skal foretages som enkelt scanning for samtlige brugere på maskinen - det vil sige, at der skal logges ind på hver enkelt bruger og køres en scanning…

Kopier indholdet herind sammen med en frisk Combofixlog, som du først laver efter Malwarebytes er kørt, og en genstart.

-ooOoo-


1. Hent nyeste version af HijackThis ned til skrivebordet.

2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.

3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.

4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.

5. Efter et kort øjeblik åbner en logfil i notesblok, kopier teksten herind.

6. Hvis du ikke selv vælger at gemme loggen på skrivebordet, bliver den automatisk gemt på destinationen: C:/Programmer/hijackthis.log hvor du senere kan finde den.

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

OBS!!  Da renseprogrammer af mange sikkerhedsprogrammet vil blive opfattet som infektioner - er det en god idé at afbryde sikkerhedsprogrammerne under installation og scanninger…
Avatar billede kent_dahl Nybegynder
13. august 2009 - 16:55 #4
Her er min hijackthis.

Ccleaner'en bruger jeg jævnligt og den har været med igennem hele processen. Malwarebytes var til gengæld ny for mig, og den fandt 'worm.agent.h', men den fandt ingen Conficker, og jeg kommer stadig ikke ind på diverse sikkerhedssider.

Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:21, on 13-08-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\RegCure\RegCure.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
C:\Programmer\StofaSafeSurf\Common\FSMA32.EXE
C:\Programmer\StofaSafeSurf\Anti-Virus\FSGK32.EXE
C:\Programmer\StofaSafeSurf\Common\FSMB32.EXE
C:\Programmer\StofaSafeSurf\Common\FCH32.EXE
C:\Programmer\StofaSafeSurf\Anti-Virus\fsqh.exe
C:\Programmer\StofaSafeSurf\Common\FAMEH32.EXE
C:\Programmer\StofaSafeSurf\FSPC\fspc.exe
c:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programmer\StofaSafeSurf\Common\FSM32.EXE
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\StofaSafeSurf\FSGUI\fsguidll.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fssm32.exe
C:\Programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
C:\Programmer\StofaSafeSurf\FWES\Program\fsdfwd.exe
C:\Programmer\StofaSafeSurf\FSAUA\program\fsus.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fsav32.exe
C:\Programmer\StofaSafeSurf\FSGUI\scanwizard.exe
C:\Documents and Settings\Administrator\Dokumenter\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmer\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\StofaSafeSurf\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\StofaSafeSurf\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Børnesikring... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Børnesikring... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programmer\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programmer\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programmer\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1229363644359
O16 - DPF: {6E704581-CCAE-46D2-9C64-20D724B3624E} (UnagiAx Class) - http://radaol-prod-web-rr.streamops.aol.com/mediaplugin/3.0.84.2/win32/unagi3.0.84.2.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {9DF01F00-08E7-4DBE-9070-94841463B3FE} (Util Class) - https://danid.dk/csp/authenticode/csp.exe
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/digitalsignatur-csp.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programmer\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\ORSP Client\fsorsp.exe

--
End of file - 8184 bytes

Håber I finder lidt her.
Avatar billede b-and Novice
13. august 2009 - 17:23 #5
Jeg bad om 2 logs!!
Avatar billede b-and Novice
13. august 2009 - 17:38 #6
Lav lige denne her med det samme. *S*

Hent Combofix, og gem den i en mappe:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Åbn mappen med Combofix, højreklik, vælg Ny->tekstdokument, åbn tekstdokumentet, kopier følgende ind:

Killall::
Snapshot::

klik på Filer->Gem som, navngiv den CFScript, luk tekstdokumentet.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den fremkomne log herind.
Avatar billede kent_dahl Nybegynder
13. august 2009 - 17:54 #7
Ups, sori, hehe, det' ikke til at finde gode folk at hjælpe. Nå, men jeg havde lavet den, så her er den sidste log, mens jeg laver ComboFix.
Avatar billede kent_dahl Nybegynder
13. august 2009 - 18:01 #8
Malwarebytes:
Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

13-08-2009 16:13:11
mbam-log-2009-08-13 (16-13-10).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 232299
Tid tilbagelagt: 2 hour(s), 43 minute(s), 10 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 1
Inficerede Mapper: 0
Inficerede Filer: 1

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
E:\autorun.inf (Worm.Agent.H) -> Quarantined and deleted successfully.
Avatar billede f-arn Guru
13. august 2009 - 18:18 #9
Malwarebytes' Anti-Malware 1.40
Database version: 2551

Burde være:

Malwarebytes' Anti-Malware 1.40
Database version: 2615

Så jeg vil foreslå du opdattere den.
Avatar billede kent_dahl Nybegynder
13. august 2009 - 19:46 #10
her er min ComboFix:

ComboFix 09-08-10.06 - Administrator 13-08-2009 18:37.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.256.75 [GMT 2:00]
Kører fra: c:\documents and settings\Administrator\Dokumenter\ComboFix\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Administrator\Dokumenter\ComboFix\CFScript.txt

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\a8486.msi
c:\windows\system32\zip32.dll

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NWCWORKSTATION
-------\Service_NWCWorkstation


(((((((((((((((((((((((((((((  Filer skabt fra 2009-07-13 til 2009-08-13  )))))))))))))))))))))))))))))))))))
.

2009-08-13 11:06 . 2009-08-13 11:06    --------    d-----w-    c:\programmer\CCleaner
2009-08-13 11:01 . 2009-08-13 11:01    --------    d-----w-    c:\documents and settings\All Users\Application Data\RegCure
2009-08-13 11:00 . 2009-08-13 11:01    --------    d-----w-    c:\programmer\RegCure
2009-08-13 10:58 . 2009-08-13 10:58    --------    d-----w-    c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-08-13 10:57 . 2009-08-03 11:36    38160    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-13 10:57 . 2009-08-13 10:57    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-13 10:57 . 2009-08-03 11:36    19096    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-08-13 10:57 . 2009-08-13 10:58    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-08-13 08:30 . 2009-08-13 08:30    86528    ----a-r-    c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{36FE657A-F88B-4CB6-AAD3-34E3FB6F3AD9}\MsiIcon.exe
2009-08-13 08:27 . 2009-08-13 08:28    --------    d-----w-    c:\programmer\CourseLab 2.4
2009-08-11 23:05 . 2009-08-11 23:05    --------    d-sh--w-    c:\windows\system32\%USERPROFILE%
2009-08-11 20:12 . 2009-08-11 20:12    --------    d-----w-    c:\programmer\Java
2009-08-11 20:11 . 2009-08-11 20:11    152576    ----a-w-    c:\documents and settings\Administrator\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-11 18:42 . 2009-08-11 18:42    --------    d-----w-    c:\documents and settings\Administrator\Application Data\F-Secure
2009-08-11 18:31 . 2009-08-11 18:31    --------    d-----w-    c:\documents and settings\NetworkService\Lokale indstillinger\Application Data\F-Secure
2009-08-11 18:30 . 2008-09-23 13:35    79904    ----a-w-    c:\windows\system32\drivers\fsdfw.sys
2009-08-11 18:28 . 2009-08-11 18:32    --------    d-----w-    c:\programmer\StofaSafeSurf
2009-08-11 18:13 . 2001-12-31 23:29    262144    ----a-w-    c:\programmer\Uninstall Spy Blocker.dll
2009-08-11 18:10 . 2009-08-11 18:27    --------    d-----w-    c:\documents and settings\All Users\Application Data\fssg
2009-08-11 18:05 . 2009-08-11 18:30    --------    d-----w-    c:\documents and settings\All Users\Application Data\f-secure
2009-08-10 15:14 . 2009-08-10 15:14    --------    d-----w-    c:\programmer\Fælles filer\Adobe
2009-08-10 15:00 . 2009-08-10 16:23    --------    d-----w-    c:\documents and settings\All Users\Application Data\NOS
2009-08-10 15:00 . 2009-08-10 16:23    --------    d-----w-    c:\programmer\NOS
2009-08-04 07:57 . 2009-08-04 07:57    --------    dc-h--w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}
2009-08-03 18:50 . 2009-08-03 18:50    --------    d-----w-    c:\programmer\JRE
2009-07-28 08:38 . 2004-06-10 14:34    53693    ----a-r-    c:\windows\UNDPX2A.sys
2009-07-28 08:38 . 2004-06-10 14:31    135168    ----a-r-    c:\windows\UNDPX2A.exe
2009-07-28 08:38 . 2004-06-09 23:42    15429    ----a-r-    c:\windows\system32\drivers\Sacm2A.sys
2009-07-20 16:21 . 2009-07-22 09:14    --------    d-----w-    c:\programmer\PhotoScape

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-11 20:12 . 2008-11-24 13:17    411368    ----a-w-    c:\windows\system32\deploytk.dll
2009-08-11 20:10 . 2008-04-26 09:01    --------    d-----w-    c:\documents and settings\Administrator\Application Data\uTorrent
2009-08-11 18:30 . 2002-09-16 11:00    531770    ----a-w-    c:\windows\system32\perfh006.dat
2009-08-11 18:30 . 2002-09-16 11:00    111130    ----a-w-    c:\windows\system32\perfc006.dat
2009-08-11 17:51 . 2008-05-16 16:52    --------    d-----w-    c:\programmer\PeerGuardian2
2009-08-11 17:49 . 2008-05-21 04:46    --------    d-----w-    c:\programmer\Lavasoft
2009-08-11 00:17 . 2009-01-13 13:58    493704    ----a-w-    c:\documents and settings\LocalService\Lokale indstillinger\Application Data\FontCache3.0.0.0.dat
2009-08-10 17:19 . 2008-11-30 12:31    --------    d-----w-    c:\programmer\Teach2000
2009-08-04 11:33 . 2008-06-19 14:29    17987    ----a-w-    c:\programmer\gpl-2.0.txt
2009-08-04 10:26 . 2008-05-21 05:02    --------    d-----w-    c:\programmer\Spybot - Search & Destroy
2009-08-04 10:26 . 2008-05-21 05:02    --------    d-----w-    c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-04 07:29 . 2001-12-31 23:01    72648    ----a-w-    c:\documents and settings\Administrator\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-08-03 18:49 . 2009-05-07 04:49    --------    d-----w-    c:\programmer\OpenOffice.org 3
2009-07-30 12:43 . 2009-05-07 04:54    1    ----a-w-    c:\documents and settings\Administrator\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-04 20:41 . 2009-06-16 04:47    --------    d-----w-    c:\documents and settings\Administrator\Application Data\dvdcss
2008-04-29 06:37 . 2007-09-30 13:05    73    ----a-w-    c:\programmer\readme.txt
2008-04-27 06:56 . 2008-03-08 05:06    41518291    ----a-w-    c:\programmer\qedoc_pack_203.exe
2008-04-14 16:05 . 2004-08-26 15:53    162155    --sha-r-    c:\windows\system32\wswtv.dll
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="c:\programmer\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"F-Secure Manager"="c:\programmer\StofaSafeSurf\Common\FSM32.EXE" [2008-09-23 182936]
"F-Secure TNB"="c:\programmer\StofaSafeSurf\FSGUI\TNBUtil.exe" [2008-09-23 957024]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2009-08-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages    REG_MULTI_SZ      msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menuen Start^Programmer^Start^OpenOffice.org 2.4.lnk]
path=c:\documents and settings\Administrator\Menuen Start\Programmer\Start\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menuen Start^Programmer^Start^OpenOffice.org 3.0.lnk]
path=c:\documents and settings\Administrator\Menuen Start\Programmer\Start\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Bluetooth Manager.lnk]
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^BTTray.lnk]
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Windows Search.lnk]
backup=c:\windows\pss\Windows Search.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"PSI_SVC_2"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"LexBceS"=2 (0x2)
"WSearch"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aawservice"=2 (0x2)
"TOSHIBA Bluetooth Service"=2 (0x2)
"Apache2.2"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmer\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programmer\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programmer\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmer\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2556:TCP"= 2556:TCP:tqosdey

R2 jhqxsqc;bkircoyp;c:\windows\system32\svchost.exe [2008-04-14 14336]
R4 Apache2.2;Apache2.2;c:\documents and settings\Administrator\Dokumenter\Downloads\MoodleWindowsInstaller-latest-19\server\apache\bin\apache.exe [x]
R4 F-Secure Filter;F-Secure File System Filter;c:\programmer\StofaSafeSurf\Anti-Virus\Win2K\FSfilter.sys [2008-09-23 39776]
R4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\StofaSafeSurf\Anti-Virus\Win2K\FSrec.sys [2008-09-23 25184]
R4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programmer\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2008-07-11 47128]
R4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\programmer\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2008-07-11 369688]
S0 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [2008-09-23 79904]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\programmer\StofaSafeSurf\HIPS\drivers\fshs.sys [2008-09-23 66720]
S1 RsFx0102;RsFx0102 Driver;c:\windows\system32\DRIVERS\RsFx0102.sys [2008-07-10 242712]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\StofaSafeSurf\Anti-Virus\minifilter\fsgk.sys [2008-09-23 72288]
S3 FSORSPClient;F-Secure ORSP Client;c:\programmer\StofaSafeSurf\ORSP Client\fsorsp.exe [2008-09-23 55904]
S3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2003-12-11 14092]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
jhqxsqc
.
Indhold af mappen 'Planlagte Opgaver'

2009-08-13 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-08-13 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-08-13 c:\windows\Tasks\RegCure Program Check.job
- c:\programmer\RegCure\RegCure.exe [2009-06-10 22:28]

2009-08-13 c:\windows\Tasks\RegCure Startup.job
- c:\programmer\RegCure\RegCure.exe [2009-06-10 22:28]

2009-08-13 c:\windows\Tasks\RegCure.job
- c:\programmer\RegCure\RegCure.exe [2009-06-10 22:28]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.google.dk/
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D}
LSP: c:\programmer\StofaSafeSurf\FSPS\program\FSLSP.DLL
Name-Space Handler: ftp\* - {419A0123-4312-1122-A0C0-434FDA6DA542} - c:\programmer\CoreFTP\pftpns.dll
DPF: {9DF01F00-08E7-4DBE-9070-94841463B3FE} - hxxps://danid.dk/csp/authenticode/csp.exe
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/digitalsignatur-csp.exe
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 19:00
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jhqxsqc]
"ServiceDll"="c:\windows\system32\wswtv.dll"
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_USERS\S-1-5-21-484763869-920026266-682003330-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6178FCE1-B4ED-1D31-806F-6A3C93D4A270}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"gaciopjchhdbkj"=hex:61,69,70,6b,68,63,64,65,6c,64,69,6b,70,6e,63,68,66,62,6d,
  65,69,64,6f,6d,6e,64,6e,65,67,66,69,6d,6d,62,65,6e,6a,62,6f,61,6f,68,63,64,\
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(6032)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programmer\Creative\Shared Files\CTAudSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
c:\programmer\StofaSafeSurf\Common\FSMA32.EXE
c:\programmer\StofaSafeSurf\Anti-Virus\fsgk32.exe
c:\programmer\StofaSafeSurf\Common\FSMB32.EXE
c:\programmer\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\programmer\StofaSafeSurf\Common\FCH32.EXE
c:\programmer\StofaSafeSurf\Anti-Virus\fsqh.exe
c:\programmer\StofaSafeSurf\Common\FAMEH32.EXE
c:\programmer\StofaSafeSurf\FSPC\fspc.exe
c:\windows\system32\locator.exe
c:\programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\CTxfispi.exe
c:\programmer\StofaSafeSurf\FSGUI\fsguidll.exe
c:\programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
c:\programmer\StofaSafeSurf\Anti-Virus\fssm32.exe
c:\programmer\StofaSafeSurf\FWES\program\fsdfwd.exe
.
**************************************************************************
.
Gennemført tid: 2009-08-13 19:21 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-08-13 17:20

Pre-Kørsel: 1.649.721.344 byte ledig
Post-Kørsel: 1.704.554.496 byte ledig

221    --- E O F ---    2009-03-16 15:03
Avatar billede b-and Novice
13. august 2009 - 20:58 #11
Følg lige det foreslåede i kommentar #9 - et stk. opdatering og en scanning med log.
Avatar billede kent_dahl Nybegynder
16. august 2009 - 10:42 #12
Tusind tak for hjælpen i torsdags. Nu har jeg vist endelig fået bugt med den.

Kan ikke huske at jeg har haft virus før. Den her kom vist fra en CD, der kom med nogle håndvægte. Der kan man bare se hvor virus kommer fra.

Nå, men hvordan får jeg givet point her som tak for hjælpen?
Avatar billede b-and Novice
16. august 2009 - 10:56 #13
Lad os lige se de logs - så vi kan se at de er rene…

Malwarebytes Anti-Malware og en frisk Combofix log som køres efter at du har scannet med MBAM.
Avatar billede kent_dahl Nybegynder
16. august 2009 - 15:46 #14
De scanninger tager bare så lang tid. Jeg har ikke fået tyndet ud i processerne endnu.

Malwarebytes:
Malwarebytes' Anti-Malware 1.40
Database version: 2634
Windows 5.1.2600 Service Pack 3

16-08-2009 15:30:59
mbam-log-2009-08-16 (15-30-59).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 230092
Tid tilbagelagt: 3 hour(s), 10 minute(s), 45 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)

HIJACK:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:00, on 16-08-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
C:\Programmer\StofaSafeSurf\Common\FSMA32.EXE
C:\Programmer\StofaSafeSurf\Anti-Virus\FSGK32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmer\StofaSafeSurf\Common\FSMB32.EXE
C:\Programmer\StofaSafeSurf\Common\FCH32.EXE
C:\Programmer\StofaSafeSurf\Anti-Virus\fsqh.exe
C:\Programmer\StofaSafeSurf\Common\FAMEH32.EXE
C:\Programmer\StofaSafeSurf\FSPC\fspc.exe
c:\Programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programmer\StofaSafeSurf\Common\FSM32.EXE
C:\Programmer\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programmer\StofaSafeSurf\FSGUI\fsguidll.exe
C:\Programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fssm32.exe
C:\Programmer\StofaSafeSurf\FWES\Program\fsdfwd.exe
C:\Programmer\StofaSafeSurf\FSAUA\program\fsus.exe
C:\Programmer\StofaSafeSurf\Anti-Virus\fsav32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\StofaSafeSurf\FSGUI\scanwizard.exe
C:\Documents and Settings\Administrator\Dokumenter\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programmer\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\StofaSafeSurf\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\StofaSafeSurf\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Børnesikring... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Børnesikring... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programmer\StofaSafeSurf\FSPC\fspcmsie.dll
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programmer\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Programmer\PartyGaming\PartyGammon\RunBackGammon.exe (file missing)
O9 - Extra button: (no name) - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - (no file)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmer\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/digitalsignatur-csp.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programmer\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmer\StofaSafeSurf\ORSP Client\fsorsp.exe

--
End of file - 6367 bytes

Håber det er ok, men F-secures realtimescanning har fanget en til af de confickers siden sidst :(
Avatar billede fromsej Praktikant
17. august 2009 - 08:01 #15
Åbn mappen med Combofix, højreklik, vælg Ny->tekstdokument, åbn tekstdokumentet, kopier følgende ind:

Killall::
Snapshot::
Driver::
jhqxsqc
bkircoyp

klik på Filer->Gem som, navngiv den CFScript, luk tekstdokumentet.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/swfcombo.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den fremkomne log herind.
Avatar billede kent_dahl Nybegynder
17. august 2009 - 11:47 #16
ComboFix 09-08-10.06 - Administrator 17-08-2009 10:05.2.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.256.86 [GMT 2:00]
Kører fra: c:\documents and settings\Administrator\Dokumenter\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\Administrator\Dokumenter\CFScript.txt
AV: Stofa SafeSurf 8.00 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: Stofa SafeSurf 8.00 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_JHQXSQC


(((((((((((((((((((((((((((((  Filer skabt fra 2009-07-17 til 2009-08-17  )))))))))))))))))))))))))))))))))))
.

2009-08-16 07:58 . 2009-05-04 08:46    2835656    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\speedupmypc2009.exe
2009-08-16 07:57 . 2009-04-29 09:45    771368    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\9966075F\B74607BA\UBSysMan.dll
2009-08-16 07:57 . 2009-04-29 09:45    845128    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\58D97068\B74607BA\System.Data.SQLite.dll
2009-08-16 07:57 . 2009-04-29 09:45    395048    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\C77843B\B74607BA\SUMPBackend.dll
2009-08-16 07:57 . 2009-04-29 09:45    236840    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\683B013A\B74607BA\PowerSuiteBackendUtils.dll
2009-08-16 07:57 . 2009-04-29 09:45    519168    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\78B94F67\B74607BA\IsLicense40.dll
2009-08-16 07:57 . 2009-04-29 09:45    345008    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\4BF757A\B74607BA\IsLicense30.dll
2009-08-16 07:57 . 2009-04-29 09:45    54608    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\D720648F\B74607BA\Interop.IWshRuntimeLibrary.dll
2009-08-16 07:57 . 2009-04-29 09:45    197968    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\6A0591D6\B74607BA\ICSharpCode.SharpZipLib.dll
2009-08-16 07:57 . 2009-04-29 09:45    474408    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\62A3297F\B74607BA\AvalonCommon.dll
2009-08-16 07:57 . 2009-04-29 09:45    1250600    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\B430549D\B74607BA\SUMP.exe
2009-08-16 07:57 . 2009-04-29 09:45    614696    -c--a-w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}\SpeedUpMyPC2009\7AEFAE8C\B74607BA\Launcher.exe
2009-08-14 09:36 . 2009-08-14 09:36    33920    ----a-w-    c:\windows\system32\drivers\fsbts.sys
2009-08-13 11:06 . 2009-08-13 11:06    --------    d-----w-    c:\programmer\CCleaner
2009-08-13 10:58 . 2009-08-13 10:58    --------    d-----w-    c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-08-13 10:57 . 2009-08-03 11:36    38160    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-13 10:57 . 2009-08-13 10:57    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-13 10:57 . 2009-08-03 11:36    19096    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-08-13 10:57 . 2009-08-13 10:58    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-08-13 08:30 . 2009-08-13 08:30    86528    ----a-r-    c:\documents and settings\Administrator\Application Data\Microsoft\Installer\{36FE657A-F88B-4CB6-AAD3-34E3FB6F3AD9}\MsiIcon.exe
2009-08-13 08:27 . 2009-08-13 08:28    --------    d-----w-    c:\programmer\CourseLab 2.4
2009-08-11 23:05 . 2009-08-11 23:05    --------    d-sh--w-    c:\windows\system32\%USERPROFILE%
2009-08-11 20:12 . 2009-08-11 20:12    --------    d-----w-    c:\programmer\Java
2009-08-11 20:11 . 2009-08-11 20:11    152576    ----a-w-    c:\documents and settings\Administrator\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-11 18:42 . 2009-08-11 18:42    --------    d-----w-    c:\documents and settings\Administrator\Application Data\F-Secure
2009-08-11 18:31 . 2009-08-11 18:31    --------    d-----w-    c:\documents and settings\NetworkService\Lokale indstillinger\Application Data\F-Secure
2009-08-11 18:30 . 2008-09-23 13:35    79904    ----a-w-    c:\windows\system32\drivers\fsdfw.sys
2009-08-11 18:28 . 2009-08-15 10:33    --------    d-----w-    c:\programmer\StofaSafeSurf
2009-08-11 18:13 . 2001-12-31 23:29    262144    ----a-w-    c:\programmer\Uninstall Spy Blocker.dll
2009-08-11 18:10 . 2009-08-11 18:27    --------    d-----w-    c:\documents and settings\All Users\Application Data\fssg
2009-08-11 18:05 . 2009-08-11 18:30    --------    d-----w-    c:\documents and settings\All Users\Application Data\f-secure
2009-08-10 15:14 . 2009-08-10 15:14    --------    d-----w-    c:\programmer\Fælles filer\Adobe
2009-08-10 15:00 . 2009-08-10 16:23    --------    d-----w-    c:\documents and settings\All Users\Application Data\NOS
2009-08-10 15:00 . 2009-08-10 16:23    --------    d-----w-    c:\programmer\NOS
2009-08-04 07:57 . 2009-08-16 07:58    --------    dc-h--w-    c:\documents and settings\All Users\Application Data\{A613CA96-150A-4A1D-90CE-67F81379DF8C}
2009-08-03 18:50 . 2009-08-03 18:50    --------    d-----w-    c:\programmer\JRE
2009-07-28 08:38 . 2004-06-10 14:34    53693    ----a-r-    c:\windows\UNDPX2A.sys
2009-07-28 08:38 . 2004-06-10 14:31    135168    ----a-r-    c:\windows\UNDPX2A.exe
2009-07-28 08:38 . 2004-06-09 23:42    15429    ----a-r-    c:\windows\system32\drivers\Sacm2A.sys
2009-07-20 16:21 . 2009-07-22 09:14    --------    d-----w-    c:\programmer\PhotoScape

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 13:00 . 2002-01-01 03:16    --------    d-----w-    c:\documents and settings\Administrator\Application Data\VoipBuster
2009-08-16 09:14 . 2009-05-07 04:54    1    ----a-w-    c:\documents and settings\Administrator\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-08-16 08:22 . 2009-01-13 13:58    656360    ----a-w-    c:\documents and settings\LocalService\Lokale indstillinger\Application Data\FontCache3.0.0.0.dat
2009-08-16 08:10 . 2008-04-26 09:01    --------    d-----w-    c:\documents and settings\Administrator\Application Data\uTorrent
2009-08-16 07:24 . 2008-11-30 12:31    --------    d-----w-    c:\programmer\Teach2000
2009-08-16 07:22 . 2008-12-02 14:46    --------    d-----w-    c:\programmer\Teaching Templates Quiz Maker
2009-08-16 07:21 . 2001-12-31 23:01    71872    -c--a-w-    c:\documents and settings\Administrator\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-08-16 07:14 . 2008-04-26 09:13    --------    d-----w-    c:\programmer\Quiz
2009-08-16 07:04 . 2008-10-13 19:15    --------    d-----w-    c:\programmer\ConTEXT
2009-08-11 20:12 . 2008-11-24 13:17    411368    ----a-w-    c:\windows\system32\deploytk.dll
2009-08-11 18:30 . 2002-09-16 11:00    531770    -c--a-w-    c:\windows\system32\perfh006.dat
2009-08-11 18:30 . 2002-09-16 11:00    111130    -c--a-w-    c:\windows\system32\perfc006.dat
2009-08-11 17:51 . 2008-05-16 16:52    --------    d-----w-    c:\programmer\PeerGuardian2
2009-08-11 17:49 . 2008-05-21 04:46    --------    d-----w-    c:\programmer\Lavasoft
2009-08-04 11:33 . 2008-06-19 14:29    17987    -c--a-w-    c:\programmer\gpl-2.0.txt
2009-08-04 10:26 . 2008-05-21 05:02    --------    d-----w-    c:\programmer\Spybot - Search & Destroy
2009-08-04 10:26 . 2008-05-21 05:02    --------    d-----w-    c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-03 18:49 . 2009-05-07 04:49    --------    d-----w-    c:\programmer\OpenOffice.org 3
2009-07-04 20:41 . 2009-06-16 04:47    --------    d-----w-    c:\documents and settings\Administrator\Application Data\dvdcss
2008-04-29 06:37 . 2007-09-30 13:05    73    -c--a-w-    c:\programmer\readme.txt
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="c:\programmer\Creative\Shared Files\Module Loader\DLLML.exe" [2005-11-04 49152]
"F-Secure Manager"="c:\programmer\StofaSafeSurf\Common\FSM32.EXE" [2008-09-23 182936]
"F-Secure TNB"="c:\programmer\StofaSafeSurf\FSGUI\TNBUtil.exe" [2008-09-23 957024]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2009-08-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages    REG_MULTI_SZ      msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menuen Start^Programmer^Start^OpenOffice.org 2.4.lnk]
path=c:\documents and settings\Administrator\Menuen Start\Programmer\Start\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menuen Start^Programmer^Start^OpenOffice.org 3.0.lnk]
path=c:\documents and settings\Administrator\Menuen Start\Programmer\Start\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Bluetooth Manager.lnk]
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^BTTray.lnk]
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Windows Search.lnk]
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"PSI_SVC_2"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"LexBceS"=2 (0x2)
"WSearch"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aawservice"=2 (0x2)
"TOSHIBA Bluetooth Service"=2 (0x2)
"Apache2.2"=2 (0x2)
"BthServ"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmer\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programmer\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Programmer\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmer\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2556:TCP"= 2556:TCP:tqosdey

R4 Apache2.2;Apache2.2;c:\documents and settings\Administrator\Dokumenter\Downloads\MoodleWindowsInstaller-latest-19\server\apache\bin\apache.exe [x]
R4 F-Secure Filter;F-Secure File System Filter;c:\programmer\StofaSafeSurf\Anti-Virus\Win2K\FSfilter.sys [2008-09-23 39776]
R4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\StofaSafeSurf\Anti-Virus\Win2K\FSrec.sys [2008-09-23 25184]
R4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\programmer\Microsoft SQL Server\100\Shared\SQLADHLP.EXE [2008-07-11 47128]
R4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\programmer\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [2008-07-11 369688]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2009-08-14 33920]
S0 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [2008-09-23 79904]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\programmer\StofaSafeSurf\HIPS\drivers\fshs.sys [2008-09-23 66720]
S1 RsFx0102;RsFx0102 Driver;c:\windows\system32\DRIVERS\RsFx0102.sys [2008-07-10 242712]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\StofaSafeSurf\Anti-Virus\minifilter\fsgk.sys [2009-08-14 99960]
S3 FSORSPClient;F-Secure ORSP Client;c:\programmer\StofaSafeSurf\ORSP Client\fsorsp.exe [2008-09-23 55904]
S3 LCcfltr;Logitech USB Filter Driver;c:\windows\system32\Drivers\LCcFltr.Sys [2003-12-11 14092]

.
Indhold af mappen 'Planlagte Opgaver'

2009-08-16 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-08-17 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.google.dk/
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D}
LSP: c:\programmer\StofaSafeSurf\FSPS\program\fslsp.dll
Name-Space Handler: ftp\* - {419A0123-4312-1122-A0C0-434FDA6DA542} - c:\programmer\CoreFTP\pftpns.dll
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/digitalsignatur-csp.exe
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 10:25
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_USERS\S-1-5-21-484763869-920026266-682003330-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{6178FCE1-B4ED-1D31-806F-6A3C93D4A270}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"gaciopjchhdbkj"=hex:61,69,70,6b,68,63,64,65,6c,64,69,6b,70,6e,63,68,66,62,6d,
  65,69,64,6f,6d,6e,64,6e,65,67,66,69,6d,6d,62,65,6e,6a,62,6f,61,6f,68,63,64,\
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(664)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3544)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\msi.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programmer\Creative\Shared Files\CTAudSvc.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programmer\StofaSafeSurf\Anti-Virus\fsgk32st.exe
c:\programmer\StofaSafeSurf\Common\FSMA32.EXE
c:\programmer\StofaSafeSurf\Common\FSMB32.EXE
c:\programmer\StofaSafeSurf\Common\FCH32.EXE
c:\programmer\StofaSafeSurf\Anti-Virus\fsqh.exe
c:\programmer\StofaSafeSurf\Common\FAMEH32.EXE
c:\programmer\StofaSafeSurf\FSPC\fspc.exe
c:\windows\system32\locator.exe
c:\programmer\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\CTxfispi.exe
c:\programmer\StofaSafeSurf\FSGUI\fsguidll.exe
c:\programmer\StofaSafeSurf\FWES\program\fsdfwd.exe
c:\windows\system32\wscntfy.exe
c:\programmer\StofaSafeSurf\FSAUA\program\fsaua.exe
c:\programmer\StofaSafeSurf\FSAUA\program\fsus.exe
c:\programmer\StofaSafeSurf\Anti-Virus\fsav32.exe
c:\programmer\StofaSafeSurf\Anti-Virus\fsgk32.exe
c:\programmer\StofaSafeSurf\Anti-Virus\fssm32.exe
.
**************************************************************************
.
Gennemført tid: 2009-08-17 11:12 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-08-17 09:12

Pre-Kørsel: 4.541.132.800 byte ledig
Post-Kørsel: 4.292.714.496 byte ledig

221    --- E O F ---    2009-03-16 15:03
Avatar billede fromsej Praktikant
17. august 2009 - 12:07 #17
Det ser fint ud nu.

Afinstaller uTorrent i Tilføj/Fjern programmer.
http://www.computerworld.dk/art/52569?a=exp&i=80
Drop fildeling >> http://spywarefri.dk/forum/topic.asp?TOPIC_ID=40284
Avatar billede kent_dahl Nybegynder
17. august 2009 - 12:18 #18
1000 tak for hjælpen. Nu kan jeg koncentrere mig om at nedsætte antallet af kørende processer her. Installationen af F-Secure fordoblede næsten det antal, så jeg har noget at gå i gang med.

Hvordan tildeler jeg i øvrigt point?

Tak igen
Avatar billede b-and Novice
17. august 2009 - 12:27 #19
For at fjerne de inficerede filer i system restore, skal du gøre følgende:

Vælg det rigtige styresystem!!

Windows XP:
1. Højreklik på > Denne Computer > Egenskaber > Systemgendannelses.
2. Sæt flueben i > Deaktiver Systemgendannelse> Anvend > OK.
3. Dobbeltklik på > Denne computer > højreklik på (C:) drevet > Egenskaber.
5. Klik på > Diskoprydning > Flere indstillinger.
6. I feltet Systemgendannelse, klik på "Ryd op".
7. Luk alle vinduer og genstart computeren.
8. Efter genstart > Aktiver Systemgendannelse på samme måde du deaktiverede det - Punkt 2 bare omvendt…

Microsofts Vista:
1. Højreklik på >Computer >Egenskaber.
2. Klik på > Avancerede system indstillinger"> og vælg > System beskyttelses > fanen fra menuen.
3. Fjern fluebenet ved drev C og tryk OK.
4. Åben start menuen og søg på > Diskoprydning.
5. Vent på at diskoprydning får arbejdet færdig.
6. Klik på fanen > Flere indstillinger.
7. I feltet Systemgendannelse, klik på > Ryd op.
8. Luk nu vinduerne og genstart computeren.
9. Aktiver Systemgendannelse på samme måde du deaktiverede det.

Ta' en ny scanning med dit sikkerhedsprogram, så du er sikker på at ALT er OK…
Avatar billede fromsej Praktikant
17. august 2009 - 12:42 #20
Det lyder godt. :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Password sikkerhed Af jhjorsal i Andet sikkerhed 2 13/07/202413:12 13/07/202422:46
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:51 UNILOGIN i GOOGLE Af lao i Browsere
I går 10:07 Kan det gøres lettere Af densortehingst i Excel
01/0821:49 En app vækker mig om morgenen og giver en vejrudsigt - hvordan stoppe det? Af Philip Kuhlmann i Apps til Android
01/0821:28 visning af heltal som resultat efter beregning Af Brian_Skovgaard i Excel
01/0814:48 Microsoft Business - kan ikke logge ind Af Lasse i Office & Kontorpakker
White papers
Flere white papers »


Premium
Teaser billede
Nvidia efterforskes for brud på konkurrencelov
Læs mere »
Den store cloud-krig raser stadigvæk - og Amazon ser lige nu ud til at have overhånden
Apple præsenter første regnskab siden AI-udmelding: Her er tre bemærkelsesværdige pointer derfra
Sårbarhed kan let give administratorrettigheder til alle: Udnyttes allerede af ransomware-grupper
Se alle »
Computerworld
Teaser billede
Første test: Denne helt nye wunder-CPU vil du have i din næste laptop
Læs mere »
Alvorlig fejl i Intel-chips breder sig: Listen over ramte processor vokser og vokser – og de kan blive permanent beskadigede
’Apple Intelligence’ slippes løs: Her kommer første mulighed for at afprøve Apples kunstige intelligens
Flere statslige it-løsninger ramt af netværksproblemer - ansatte kunne ikke få mail-adgang
Se alle »
CIO
Teaser billede
Stor aftale gør Microsofts datacentre hurtigere - investerer i netværksudstyr
Læs mere »
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
NIS2 i Danmark udskydes med flere måneder: Her er den nye dato, hvor loven træder i kraft
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Sådan gør du: Elektronisk dokumentudveksling i praksis
Læs mere »
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
SASE: Træf det rette valg – første gang
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »