Virus

—Hent Combofix, og gem den på dit skrivebord som alg.exe
Det er vigtigt at du gemmer den under dette navn.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Luk alle andre vinduer ned.
Kør så Combofix.exe, (alg.exe)  og følg anvisningerne. (Vistabrugere skal klikke med højre-musetast på filen og vælge (Kør som administrator)

Vigtigt-> Deaktiver dit antivirus/antispyware program. Da det/de kan "forstyrre" og konflikte med Combofix, eller fjerne vigtige Combofix filer, hvilket kan få computeren til fryse.

Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\ Combofix txt
Hvis logfilen ikke åbnes så finder du den her c:\combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Vær tålmodig og vent til Combofix ruden lukker ned.

Win98, ME, W2000, XP, Vista, Win7, OS/2, Unix, Linux, ... ?

og/eller denne 'pakke' ->

Hent og instalér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
http://vistaguide.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763
Lad programmet foretage en oprydning...

--------

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

(Jooo - jeg har 'virus' på hjernen...)

Mht.: Vista - HøjreMusseTast på *.EXE filen - Kør som Administrator...

------------------

Jeg har AVG Antivirus på pcen. Jeg har prøvet at finde et flueben eller andet for at deaktivere, umuligt. Jeg har prøvet at slette programmet via Tilføj/fjern programmer, umuligt. Hvad gør jeg?

Jan

HøjreMusseTast på AVG iconet i "Task"baren ?

Ellers klikker du bare OK for at forsætte, combofix vil så forsætte med at køre.

AVG ikonet på Task Baren er væk. Total Security har minimeret Task Baren til kun at have sit eget ikon fremme.

Hvad har du egenlig gang i.
Er det Combofix du forsøger at køre  eller hvad.
Hvis du har været ved at prøvet og køre den, så slet den du har liggende på skrivebordet og udfør nøjaktig dette.

d. 02. september 2009 kl. 14:40:41| #1

Hvis combofix kommer og siger din antivirus program kører siger du bare forsæt og bliver ved med at klikke ok.

Der kan godt gå lidt tid inden combofix begynder at arbejde.

Jeg har nu kørt Combofix. Her er logfilen

ComboFix 09-09-02.02 - jmch 03-09-2009 11:28.1.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.1526.1080 [GMT 2:00]
Kører fra: c:\documents and settings\jmch\Skrivebord\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\\ZbThumbnail.info
C:\desktop.ini
c:\documents and settings\All Users\Application Data\17587654
c:\documents and settings\All Users\Application Data\17587654\17587654
c:\documents and settings\All Users\Application Data\17587654\17587654.exe
c:\documents and settings\All Users\Application Data\17587654\pc17587654ins
c:\documents and settings\jmch\Menuen Start\Programmer\Total Security
c:\documents and settings\jmch\Menuen Start\Programmer\Total Security\Total Security 2009.lnk
c:\programmer\DDnsFilter
c:\programmer\DDnsFilter\DDnsFilter.dll
c:\windows\010112010146101105.te
c:\windows\0101120101464950.xe
c:\windows\0101120101464954.xe
c:\windows\0101120101465249.xe
c:\windows\Fonts\AcadEref.ttf
c:\windows\freddy61.exe
c:\windows\ld14.exe
c:\windows\mstre21.exe
c:\windows\pp11.exe
c:\windows\system32\drivers\ss.sys

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SfX
-------\Legacy_ddnsfilter
-------\Service_ddnsfilter
-------\Service_StreamSurge


(((((((((((((((((((((((((((((  Filer skabt fra 2009-08-03 til 2009-09-03  )))))))))))))))))))))))))))))))))))
.

2009-09-02 06:19 . 2009-09-03 06:29    --------    d-----w-    c:\programmer\Enigma Software Group
2009-09-01 07:53 . 2009-09-01 07:53    1    ---h--w-    c:\windows\ex23567.dat
2009-09-01 07:53 . 2009-09-01 07:53    37760    ----a-w-    c:\windows\system32\drivers\Filter.sys
2009-09-01 07:53 . 2009-09-01 07:53    1    ---h--w-    c:\windows\mmsmark2.dat
2009-08-30 10:44 . 2009-08-30 10:44    --------    d-----w-    c:\programmer\Polar
2009-08-13 04:51 . 2009-07-10 13:27    1315328    -c----w-    c:\windows\system32\dllcache\msoe.dll
2009-08-11 06:39 . 2009-08-11 06:39    --------    d-----w-    C:\Aktivitetstur til Hovborg
2009-08-06 19:14 . 2009-08-06 21:38    --------    d-----w-    c:\documents and settings\jmch\Application Data\FileZilla
2009-08-05 11:53 . 2009-08-05 11:54    --------    d-----w-    c:\documents and settings\jmch\Application Data\Ventrilo
2009-08-05 11:53 . 2009-08-05 11:53    --------    d-----w-    c:\programmer\Ventrilo
2009-08-05 09:00 . 2009-08-05 09:00    204800    -c----w-    c:\windows\system32\dllcache\mswebdvd.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 06:54 . 2004-08-27 12:00    83484    ----a-w-    c:\windows\system32\perfc006.dat
2009-09-03 06:54 . 2004-08-27 12:00    459330    ----a-w-    c:\windows\system32\perfh006.dat
2009-09-03 06:52 . 2008-05-22 19:08    --------    d-----w-    c:\documents and settings\All Users\Application Data\avg8
2009-09-03 06:48 . 2006-06-21 10:52    119120    ----a-w-    c:\documents and settings\jmch\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-09-01 10:28 . 2009-02-19 08:37    107912    ----a-w-    c:\windows\system32\drivers\avgtdix.sys
2009-09-01 10:28 . 2008-05-22 19:08    325640    ----a-w-    c:\windows\system32\drivers\avgldx86.sys
2009-09-01 10:28 . 2008-02-03 16:37    27656    ----a-w-    c:\windows\system32\drivers\avgmfx86.sys
2009-09-01 10:28 . 2009-01-30 06:07    10520    ----a-w-    c:\windows\system32\avgrsstx.dll
2009-09-01 09:16 . 2008-12-20 10:06    --------    d-----w-    c:\programmer\Yahoo!
2009-09-01 09:14 . 2006-11-19 16:53    --------    d-----w-    c:\programmer\PrisKalk
2009-09-01 09:10 . 2006-10-26 12:54    --------    d-----w-    c:\programmer\BuildDesk DK 3.2
2009-09-01 09:10 . 2006-06-21 09:28    --------    d--h--w-    c:\programmer\InstallShield Installation Information
2009-08-13 05:06 . 2007-08-02 17:32    --------    d-----w-    c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-11 06:54 . 2006-09-19 20:07    --------    d-----w-    c:\documents and settings\jmch\Application Data\U3
2009-08-05 11:52 . 2007-06-28 08:17    --------    d-----w-    c:\programmer\Fælles filer\Wise Installation Wizard
2009-08-05 09:00 . 2004-08-27 12:00    204800    ----a-w-    c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2004-08-27 12:00    58880    ----a-w-    c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-27 12:00    286208    ----a-w-    c:\windows\system32\wmpdxm.dll
2009-07-13 10:48 . 2006-10-02 19:21    --------    d-----w-    c:\programmer\IrfanView
2009-07-03 16:59 . 2004-08-27 12:00    915456    ----a-w-    c:\windows\system32\wininet.dll
2009-06-29 20:18 . 2009-06-29 20:18    20747    ----a-w-    c:\windows\system32\drivers\AegisP.sys
2009-06-16 14:39 . 2004-08-27 12:00    81920    ----a-w-    c:\windows\system32\fontsub.dll
2009-06-16 14:39 . 2004-08-27 12:00    119808    ----a-w-    c:\windows\system32\t2embed.dll
2009-06-15 10:44 . 2004-08-27 12:00    77824    ----a-w-    c:\windows\system32\telnet.exe
2009-06-15 10:44 . 2004-08-27 12:00    81920    ----a-w-    c:\windows\system32\tlntsess.exe
2009-06-10 14:15 . 2004-08-27 12:00    85504    ----a-w-    c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2006-03-09 11:25    2066432    ----a-w-    c:\windows\system32\mstscax.dll
2009-06-10 06:16 . 2004-08-27 12:00    132096    ----a-w-    c:\windows\system32\wkssvc.dll
2007-04-25 08:49 . 2008-07-18 20:05    328    ------w-    c:\programmer\GuideMenuSetup.iss
2007-04-06 03:28 . 2008-07-18 20:08    1237    ------w-    c:\programmer\WinDVDSetup.iss
2008-07-18 20:47 . 2008-07-18 20:47    8    --sh--r-    c:\windows\system32\AF3D73CD53.sys
2008-07-25 11:30 . 2007-01-02 18:28    3350    --sha-w-    c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programmer\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1062144]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-07-24 07:56    1062144    ----a-w-    c:\programmer\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmer\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1062144]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programmer\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-07-24 1062144]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-24 68856]
"MSMSGS"="c:\programmer\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Creative Live! Cam Manager"="c:\programmer\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-09-06 143360]
"TomTomHOME.exe"="c:\programmer\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"WMPNSCFG"="c:\programmer\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]
"Google Update"="c:\documents and settings\jmch\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-04 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-10-26 136600]
"Sony Ericsson PC Suite"="c:\programmer\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Photo Downloader"="c:\programmer\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 57344]
"GrooveMonitor"="c:\programmer\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"AVFX Engine"="c:\programmer\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-08-16 24576]
"V0230Mon.exe"="c:\windows\V0230Mon.exe" [2006-09-06 32768]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-09-01 1932568]
"GuideMenu"="c:\programmer\Corel\Corel GuideMenu\GuideMenu.exe" [2007-08-07 1282048]
"QuickTime Task"="c:\programmer\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\programmer\iTunes\iTunesHelper.exe" [2009-01-06 290088]
"F5D9050"="c:\programmer\Belkin\F5D9050\Belkinwcui.exe" [2006-07-20 1617920]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Ordbogen.com"="c:\programmer\CoolSystems\ordbogen.com\ordbogen.exe" [2007-10-19 274432]

c:\documents and settings\jmch\Menuen Start\Programmer\Start\
Screen Clipper and Launcher til OneNote 2007.lnk - c:\programmer\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\All Users\Menuen Start\Programmer\Start\
Adobe Reader Hurtigstart.lnk - c:\programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
AutoCAD Startup Accelerator.lnk - c:\programmer\F‘lles filer\Autodesk Shared\acstart17.exe [2006-3-5 11000]
Device Detector 3.lnk - c:\programmer\Olympus\DeviceDetector\DevDtct2.exe [2007-6-25 114688]
RICOH Gate La.lnk - c:\programmer\Caplio Software\RGateLXP.exe [2008-5-7 360448]
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-9-18 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-09-03 09:50    11952    ----a-w-    c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^VersionTrackerPro.lnk]
path=c:\documents and settings\All Users\Menuen Start\Programmer\Start\VersionTrackerPro.lnk
backup=c:\windows\pss\VersionTrackerPro.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmer\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmer\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmer\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmer\\Caplio Software\\RGateLXP.exe"=
"c:\\Programmer\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programmer\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmer\\MSN Messenger\\livecall.exe"=
"c:\\Programmer\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmer\\iTunes\\iTunes.exe"=
"c:\\Programmer\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Programmer\\Skype\\Phone\\Skype.exe"=
"c:\\Programmer\\Ventrilo\\Ventrilo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"= 8085:TCP:ddnsfilter

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [22-05-2008 21:08 325640]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [19-02-2009 10:37 107912]
R1 Filter;Filter;c:\windows\system32\drivers\Filter.sys [1-09-2009 09:53 37760]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [30-01-2009 08:07 298264]
S3 V0230Vfx;V0230Vfx;c:\windows\system32\drivers\V0230Vfx.sys [27-12-2007 19:30 6272]
S3 V0230VID;Live! Cam Video IM Pro;c:\windows\system32\drivers\V0230VID.sys [27-12-2007 19:30 500480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
ddnsfilter    REG_MULTI_SZ      ddnsfilter

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Indhold af mappen 'Planlagte Opgaver'

2009-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-436374069-682003330-1005Core.job
- c:\documents and settings\jmch\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe [2008-09-04 20:10]

2009-09-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-436374069-682003330-1005UA.job
- c:\documents and settings\jmch\Lokale indstillinger\Application Data\Google\Update\GoogleUpdate.exe [2008-09-04 20:10]

2009-08-30 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-09-03 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-09-03 c:\windows\Tasks\RegCure Program Check.job
- c:\programmer\RegCure\RegCure.exe [2008-12-29 17:58]

2009-02-12 c:\windows\Tasks\RegCure.job
- c:\programmer\RegCure\RegCure.exe [2008-12-29 17:58]

2009-09-03 c:\windows\Tasks\User_Feed_Synchronization-{877EF6A2-E603-44D7-A1CC-8CE8F7B6F1A4}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
- - - - TOMME GENVEJE FJERNET - - - -

HKCU-Run-VoipStunt - c:\programmer\voipstunt.com\voipstunt\voipstunt.exe
HKLM-Run-sysfbtray - c:\windows\freddy61.exe
HKLM-Run-17587654 - c:\documents and settings\All Users\Application Data\17587654\17587654.exe


.
------- Yderligere scanning -------
.
uStart Page =
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {0018A71D-26DA-4707-AF52-E0B9D39796F2} - hxxp://lafarge.kampanj.nu/LafargeOnline.cab
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://bestilling.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
FF - ProfilePath - c:\documents and settings\jmch\Application Data\Mozilla\Firefox\Profiles\ibee3lyv.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo! Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - plugin: c:\documents and settings\jmch\Lokale indstillinger\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\programmer\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programmer\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\programmer\Virtual Earth 3D\npVE3D.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLITIKKER ----
c:\programmer\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".dk");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-03 11:42
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  GuideMenu = c:\programmer\Corel\Corel GuideMenu\GuideMenu.exe -hide???????????>?????????????CTRLMGR_3_CTRL_21?????????????????+x????????????????????z???????????????H???@???@?????????????????>???>?????????8472072? ?????????>???>?????????CTRL_SUBTYPE??????????????>????????

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'explorer.exe'(3924)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmer\Bonjour\mDNSResponder.exe
c:\programmer\Sektornet VPN\cvpnd.exe
c:\programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
c:\programmer\Java\jre6\bin\jqs.exe
c:\programmer\Fælles filer\Protexis\License Service\PSIService.exe
c:\programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
c:\programmer\Windows Media Player\wmpnetwk.exe
c:\programmer\AVG\AVG8\avgrsx.exe.oldS
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\programmer\Fælles filer\Teleca Shared\CapabilityManager.exe
c:\programmer\iPod\bin\iPodService.exe
c:\programmer\Fælles filer\Teleca Shared\Generic.exe
c:\programmer\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Gennemført tid: 2009-09-03 11:54 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-09-03 09:54

Pre-Kørsel: 35.108.483.072 byte ledig
Post-Kørsel: 37.119.430.656 byte ledig

260    --- E O F ---    2009-09-01 14:37

(Er du også Facebook bruger ? Der er (=var) virus elementer som typisk stammer fra en Facebook application...)

OK, så følger du denne vejledning >

d. 02. september 2009 kl. 17:22:58| #3

Ja jeg er Facebook bruger, og det var præcis derfra virusset kom. Et link fra en venlig sjæl, og vupti så var Total Security der. Jeg har tidligere brugt AVG i en købt version. Nu er spørgsmålet hvad jeg skal købe af antivirus programmer for at beskytte computeren bedst muligt?

Venlig hilsen
Jan

Lad os lige få renset 'dyret' først...

AVG Free er ikke liiiiige det smarteste -> http://www.spywarefri.dk/artikel/computerblade-misinformerer/

Når du har kørt og lagt logfilen fra Malwarebytes Anti-Malware herind udfører du dette.


Kopier teksten med fed skrift ind i notesblok, > Gå ud i "Filer" > Gem som > Ret "Filtype" til "Alle filer" > Ved "Filnavn" skriv  CFScript.txt  > Gem den der hvor Combofix ligger.

Killall::
Snapshot::
File:
c:\windows\ex23567.dat
c:\windows\system32\drivers\Filter.sys
c:\windows\mmsmark2.dat
RegLock::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8085:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"ddnsfilter"=-


Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif
Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Kopier den fremkomne log herind.

Upsan ja det kan jeg godt forstå efter at have læst tråden på dit link.
Jeg skal altså først have renset dyret, som du skriver. Og det gør jeg ved at følge din anvisning fra d. 02. september 2009 kl. 17:22:58| #3, eller er der dukket noget andet og mere op undervejs der skal gøres?

Når du følger min vejledning her >

d. 03. september 2009 kl. 12:57:07| #14

og har kopieret den tekst ind i notesblok skal du lige rette en tastefejl.

Linjen File: skal du lige rette til File::   inden du gemmer.

Hej igen.
Her er logfilen fra Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:13, on 4-09-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\Programmer\Sektornet VPN\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Fælles filer\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmer\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\WINDOWS\V0230Mon.exe
C:\Programmer\Corel\Corel GuideMenu\GuideMenu.exe
C:\Programmer\Belkin\F5D9050\Belkinwcui.exe
C:\Programmer\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Olympus\DeviceDetector\DevDtct2.exe
C:\Programmer\Microsoft Office\Office12\ONENOTEM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Java\jre6\bin\jucheck.exe
C:\Documents and Settings\jmch\Skrivebord\HiJackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmer\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVFX Engine] C:\Programmer\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [GuideMenu] C:\Programmer\Corel\Corel GuideMenu\GuideMenu.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F5D9050] C:\Programmer\Belkin\F5D9050\Belkinwcui.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Ordbogen.com] C:\Programmer\CoolSystems\ordbogen.com\ordbogen.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Screen Clipper and Launcher til OneNote 2007.lnk = C:\Programmer\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?
O4 - Global Startup: Device Detector 3.lnk = C:\Programmer\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {0018A71D-26DA-4707-AF52-E0B9D39796F2} (LaFargeOnline Control) - http://lafarge.kampanj.nu/LafargeOnline.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141906357389
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1141906441202
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://bestilling.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5368/mcfscan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmer\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmer\Fælles filer\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Programmer\Bonjour\mDNSResponder.exe
O23 - Service: Uni-C Sektornet VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Sektornet VPN\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programmer\Fælles filer\Protexis\License Service\PSIService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9453 bytes

Og her er logfilen fra malware

Malwarebytes' Anti-Malware 1.40
Database version: 2738
Windows 5.1.2600 Service Pack 3

4-09-2009 11:18:51
mbam-log-2009-09-04 (11-18-51).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 270148
Tid tilbagelagt: 1 hour(s), 23 minute(s), 36 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 2
Inficerede Registeringsdatabase Værdier: 1
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 3
Inficerede Filer: 22

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_CURRENT_USER\SOFTWARE\RegTool (Rogue.RegTool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\RegTool (Rogue.RegTool) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\Documents and Settings\jmch\Application Data\RegTool (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Programmer\RegTool (Rogue.RegTool) -> Quarantined and deleted successfully.

Inficerede Filer:
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\17587654\17587654.exe.vir (Rogue.SystemSecurity) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\freddy61.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\ld14.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\mstre21.exe.vir (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\resultsw.db (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-12 13-02-220.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-12 22-07-550.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-13 19-34-530.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-13 22-52-420.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-14 08-40-090.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-14 21-37-130.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-15 10-17-380.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-15 11-28-020.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-15 12-00-000.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-15 12-00-001.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-15 18-16-280.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-16 09-21-390.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-22 12-00-000.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\jmch\Application Data\RegTool\Logs\2009-02-22 12-00-001.log (Rogue.RegTool) -> Quarantined and deleted successfully.
C:\WINDOWS\0535251103110107106.yux (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\mmsmark2.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\ex23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.

Før jeg kan lukke hijackthis skal jeg vide hvilke flueben jeg skal markere, ik?

Malwarebytes har 'nappet' utøjet bla. freddy61.exe !!!

Hvordan kører PC'en så nu ?
Der er lidt generel oprydning; det følger...

Pc kører betydeligt hurtigere mht opstart. Total Security er væk, så det er bare super. Jeg har stadig Hijackthis åben, programmet venter på jeg skal markere hvad der skal fjernes, og der er jeg på herrens mark. . jeg er total amatør ud i denne verden, så jeg ser frem til nogle anvisninger.

Hilsen
jan

Mest oprydning - behøver ikke at være med i din opstart...

Afinstall (Hvis de er der?)
* Apple Mobile Device - Apple Inc.
* Bonjour-tjeneste (Bonjour Service)
* Google Updater Service (gusvc)
* iPod-tjeneste (iPod Service)
* Ulead Burning Helper (UleadBurningHelper)

Genstart normalt...

Kør en scanning med Hijackthis,
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [GuideMenu] C:\Programmer\Corel\Corel GuideMenu\GuideMenu.exe -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - Startup: Screen Clipper and Launcher til OneNote 2007.lnk = C:\Programmer\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = ?

Genstart normalt...

------------------------------------------------------------------------

Ta' en oprydning med førnævnte CCleaner...

------------------------------------------------------------------------

Nu har jeg fulgt alle vejledninger inklusive #14 og #16. Her er den nye logfil fra Combofix. Hvad gør jeg nu?

ComboFix 09-09-02.02 - jmch 04-09-2009 16:09.2.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.1526.1148 [GMT 2:00]
Kører fra: c:\documents and settings\jmch\Skrivebord\ComboFix.exe
Kommandoer benyttet :: c:\documents and settings\jmch\Skrivebord\Combofix\CFScript.txt

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!

FILE ::
"c:\windows\ex23567.dat"
"c:\windows\mmsmark2.dat"
"c:\windows\system32\drivers\Filter.sys"
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\Filter.sys

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_Filter
-------\Service_Filter


(((((((((((((((((((((((((((((  Filer skabt fra 2009-08-04 til 2009-09-04  )))))))))))))))))))))))))))))))))))
.

2009-09-04 07:50 . 2009-09-04 07:50    --------    d-----w-    c:\documents and settings\jmch\Application Data\Malwarebytes
2009-09-04 07:50 . 2009-08-03 11:36    38160    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-04 07:50 . 2009-09-04 07:50    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-09-04 07:50 . 2009-09-04 07:50    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-04 07:50 . 2009-08-03 11:36    19096    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-09-04 07:11 . 2009-09-04 07:11    --------    d-----w-    c:\programmer\CCleaner
2009-09-02 06:19 . 2009-09-03 06:29    --------    d-----w-    c:\programmer\Enigma Software Group
2009-08-30 10:44 . 2009-08-30 10:44    --------    d-----w-    c:\programmer\Polar
2009-08-13 04:51 . 2009-07-10 13:27    1315328    -c----w-    c:\windows\system32\dllcache\msoe.dll
2009-08-11 06:39 . 2009-08-11 06:39    --------    d-----w-    C:\Aktivitetstur til Hovborg
2009-08-06 19:14 . 2009-08-06 21:38    --------    d-----w-    c:\documents and settings\jmch\Application Data\FileZilla

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-04 11:58 . 2008-07-18 20:47    --------    d-----w-    c:\documents and settings\jmch\Application Data\Ulead Systems
2009-09-04 11:58 . 2008-07-18 20:03    --------    d-----w-    c:\documents and settings\All Users\Application Data\Ulead Systems
2009-09-04 11:58 . 2006-06-28 12:08    --------    d-----w-    c:\programmer\Corel
2009-09-04 11:53 . 2008-10-25 10:31    --------    d-----w-    c:\programmer\Fælles filer\Apple
2009-09-04 07:29 . 2007-01-07 12:59    --------    d-----w-    c:\programmer\Google
2009-09-04 07:28 . 2008-05-22 19:08    --------    d-----w-    c:\documents and settings\All Users\Application Data\avg8
2009-09-04 07:27 . 2006-03-23 09:07    --------    d-----w-    c:\programmer\Fælles filer\Autodesk Shared
2009-09-03 06:54 . 2004-08-27 12:00    83484    ----a-w-    c:\windows\system32\perfc006.dat
2009-09-03 06:54 . 2004-08-27 12:00    459330    ----a-w-    c:\windows\system32\perfh006.dat
2009-09-03 06:48 . 2006-06-21 10:52    119120    ----a-w-    c:\documents and settings\jmch\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
2009-09-01 09:16 . 2008-12-20 10:06    --------    d-----w-    c:\programmer\Yahoo!
2009-09-01 09:14 . 2006-11-19 16:53    --------    d-----w-    c:\programmer\PrisKalk
2009-09-01 09:10 . 2006-10-26 12:54    --------    d-----w-    c:\programmer\BuildDesk DK 3.2
2009-09-01 09:10 . 2006-06-21 09:28    --------    d--h--w-    c:\programmer\InstallShield Installation Information
2009-08-13 05:06 . 2007-08-02 17:32    --------    d-----w-    c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-11 06:54 . 2006-09-19 20:07    --------    d-----w-    c:\documents and settings\jmch\Application Data\U3
2009-08-05 11:54 . 2009-08-05 11:53    --------    d-----w-    c:\documents and settings\jmch\Application Data\Ventrilo
2009-08-05 11:53 . 2009-08-05 11:53    --------    d-----w-    c:\programmer\Ventrilo
2009-08-05 11:52 . 2007-06-28 08:17    --------    d-----w-    c:\programmer\Fælles filer\Wise Installation Wizard
2009-08-05 09:00 . 2004-08-27 12:00    204800    ----a-w-    c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2004-08-27 12:00    58880    ----a-w-    c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-27 12:00    286208    ----a-w-    c:\windows\system32\wmpdxm.dll
2009-07-13 10:48 . 2006-10-02 19:21    --------    d-----w-    c:\programmer\IrfanView
2009-07-03 16:59 . 2004-08-27 12:00    915456    ----a-w-    c:\windows\system32\wininet.dll
2009-06-29 20:18 . 2009-06-29 20:18    20747    ----a-w-    c:\windows\system32\drivers\AegisP.sys
2009-06-16 14:39 . 2004-08-27 12:00    81920    ----a-w-    c:\windows\system32\fontsub.dll
2009-06-16 14:39 . 2004-08-27 12:00    119808    ----a-w-    c:\windows\system32\t2embed.dll
2009-06-15 10:44 . 2004-08-27 12:00    77824    ----a-w-    c:\windows\system32\telnet.exe
2009-06-15 10:44 . 2004-08-27 12:00    81920    ----a-w-    c:\windows\system32\tlntsess.exe
2009-06-10 14:15 . 2004-08-27 12:00    85504    ----a-w-    c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2006-03-09 11:25    2066432    ----a-w-    c:\windows\system32\mstscax.dll
2009-06-10 06:16 . 2004-08-27 12:00    132096    ----a-w-    c:\windows\system32\wkssvc.dll
2007-04-25 08:49 . 2008-07-18 20:05    328    ------w-    c:\programmer\GuideMenuSetup.iss
2007-04-06 03:28 . 2008-07-18 20:08    1237    ------w-    c:\programmer\WinDVDSetup.iss
2008-07-18 20:47 . 2008-07-18 20:47    8    --sh--r-    c:\windows\system32\AF3D73CD53.sys
2008-07-25 11:30 . 2007-01-02 18:28    3350    --sha-w-    c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programmer\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2008-10-26 136600]
"GrooveMonitor"="c:\programmer\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"AVFX Engine"="c:\programmer\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-08-16 24576]
"V0230Mon.exe"="c:\windows\V0230Mon.exe" [2006-09-06 32768]
"F5D9050"="c:\programmer\Belkin\F5D9050\Belkinwcui.exe" [2006-07-20 1617920]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Ordbogen.com"="c:\programmer\CoolSystems\ordbogen.com\ordbogen.exe" [2007-10-19 274432]

c:\documents and settings\All Users\Menuen Start\Programmer\Start\
Device Detector 3.lnk - c:\programmer\Olympus\DeviceDetector\DevDtct2.exe [2007-6-25 114688]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^RICOH Gate La.lnk]
path=c:\documents and settings\All Users\Menuen Start\Programmer\Start\RICOH Gate La.lnk
backup=c:\windows\pss\RICOH Gate La.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^VersionTrackerPro.lnk]
path=c:\documents and settings\All Users\Menuen Start\Programmer\Start\VersionTrackerPro.lnk
backup=c:\windows\pss\VersionTrackerPro.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^VPN Client.lnk]
path=c:\documents and settings\All Users\Menuen Start\Programmer\Start\VPN Client.lnk
backup=c:\windows\pss\VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^jmch^Menuen Start^Programmer^Start^Yahoo! Widgets.lnk]
path=c:\documents and settings\jmch\Menuen Start\Programmer\Start\Yahoo! Widgets.lnk
backup=c:\windows\pss\Yahoo! Widgets.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programmer\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programmer\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programmer\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programmer\\Caplio Software\\RGateLXP.exe"=
"c:\\Programmer\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programmer\\MSN Messenger\\livecall.exe"=
"c:\\Programmer\\iTunes\\iTunes.exe"=
"c:\\Programmer\\Skype\\Phone\\Skype.exe"=
"c:\\Programmer\\Ventrilo\\Ventrilo.exe"=

S3 V0230Vfx;V0230Vfx;c:\windows\system32\drivers\V0230Vfx.sys [27-12-2007 19:30 6272]
S3 V0230VID;Live! Cam Video IM Pro;c:\windows\system32\drivers\V0230VID.sys [27-12-2007 19:30 500480]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Indhold af mappen 'Planlagte Opgaver'

2009-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-30 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-09-04 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-09-04 c:\windows\Tasks\RegCure Program Check.job
- c:\programmer\RegCure\RegCure.exe [2008-12-29 17:58]

2009-02-12 c:\windows\Tasks\RegCure.job
- c:\programmer\RegCure\RegCure.exe [2008-12-29 17:58]

2009-09-04 c:\windows\Tasks\User_Feed_Synchronization-{877EF6A2-E603-44D7-A1CC-8CE8F7B6F1A4}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
- - - - TOMME GENVEJE FJERNET - - - -

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)


.
------- Yderligere scanning -------
.
uStart Page =
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {0018A71D-26DA-4707-AF52-E0B9D39796F2} - hxxp://lafarge.kampanj.nu/LafargeOnline.cab
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://bestilling.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
FF - ProfilePath - c:\documents and settings\jmch\Application Data\Mozilla\Firefox\Profiles\ibee3lyv.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo! Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - plugin: c:\programmer\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programmer\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\programmer\Virtual Earth 3D\npVE3D.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLITIKKER ----
c:\programmer\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".dk");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-04 16:19
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- LÅSTE REGISTRERINGS NØGLER ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
  00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'explorer.exe'(1832)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
c:\programmer\Sektornet VPN\cvpnd.exe
c:\programmer\Fælles filer\InterVideo\RegMgr\iviRegMgr.exe
c:\programmer\Java\jre6\bin\jqs.exe
c:\programmer\Fælles filer\Protexis\License Service\PSIService.exe
c:\programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
c:\programmer\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Gennemført tid: 2009-09-04 16:25 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2009-09-04 14:25
ComboFix2.txt  2009-09-03 09:54

Pre-Kørsel: 37.969.170.432 byte ledig
Post-Kørsel: 37.954.375.680 byte ledig

198    --- E O F ---    2009-09-01 14:37

Din log er ren

Hvis det er den gratis version af  AVG du har, vil anbefale at droppe AVG, den er ikke et skud hagl værd mere, desværre.
Hent installationsfilen til Avast:
http://files.avast.com/iavs4pro/setupdan.exe
Hent dette værktøj:
http://www.avg.com/download-tools
Hent Ccleaner her:
http://www.ccleaner.com/download/builds/downloading-slim
Installer Ccleaner, det skal ikke køres endnu.
Afbryd netforbindelsen, kør værktøjet fra AVG, genstart.
Start Ccleaner, fjern fluebenet i cookies.
Klik på kør Cleaner og lad den fjerne hvad den finder.
Klik så på Register ovre i venstre side (den blå terning), klik på Skan efter problemer, når den er færdig, klik på Udbedre valgte problemer, lav evt. en backup af registreringsdatabasen, klik så på udbedre alle valgte problemer.
Klik på OK, klik på Luk når den er færdig.
Genstart.
Installer Avast, tilslut nettet, så programmet kan opdatere.

Jeg går ud fra du har udført dette >

fre. d. 04. september 2009 kl. 13:44:03| #20

Ellers skal du gøre det ?

Yes jeg har udført #20. Jeg har været inde og læse om AVG, og afinstalleret den. Min Pc kører nu superfint. Hvordan belønner jeg jer med point, I er dem alle værd?

Ping...
(Det er et svar - til delning...)

Ping..