har fået vir

kan ikke kopiere logs herind

Hent nedenstående over på en "rask" maskine, og kopiere dem over på patienten…

Hent CCleaner her:
http://www.filehippo.com/download_ccleaner/

Installer CCleaner, og fjerne fluebenet udfor Yahoo Toolbar - ingen grund til at få det skrammel på.
Start > Fjern fluebenet i cookies.
Klik på kør Cleaner og lad den fjerne hvad den finder i både Windows og Programmer.  Kør et par gange eller til der ikke er mere og komme efter.
Klik så på Register ovre i venstre side (den blå terning), klik på Skan efter problemer, når den er færdig, klik på Udbedre valgte problemer, lav evt. en backup af registreringsdatabasen, klik så på udbedre alle valgte problemer.  Kør et par gange, eller til der ikke er mere og komme efter.
Klik på OK, klik på Luk når den er færdig.
Genstart.

-ooOoo-

Hent Malwarebytes Anti-Malware > http://www.spywarefri.dk/downloads1/mbam-setup.exe < og tryk på Kør…

Installer programmet - når det er gjort skal du lade programmet opdatere sig.  Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde.  Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).

Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.

OBS!!  Ovenstående scanning skal foretages som enkelt scanning for samtlige brugere på maskinen - det vil sige, at der skal logges ind på hver enkelt bruger og køres en scanning…

Kopier indholdet herind sammen med en frisk HJT-log, som du først laver efter Malwarebytes er kørt, og en genstart.

-ooOoo-

1. Hent nyeste version af HijackThis ned til skrivebordet.

2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.

3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.

4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.

5. Efter et kort øjeblik åbner en logfil i notesblok, kopier teksten herind.

6. Hvis du ikke selv vælger at gemme loggen på skrivebordet, bliver den automatisk gemt på destinationen: C:/Programmer/hijackthis.log hvor du senere kan finde den.

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

OBS!!  Da renseprogrammer af mange sikkerhedsprogrammet vil blive opfattet som infektioner - er det en god idé at afbryde sikkerhedsprogrammerne under installation og scanninger…

Hvorfor ikke?

kan det have noget med java at gøre?

Det ved jeg ikke. Hvis du på nogen måde kan, så er logs fra combofix og malwarebytes det vigtigste.

kan jeg maile til dig?

logs er jo ren tekst, og kan du skrive her, kan du også kopiere indholdet fra logs ind som kommentarer selvfølgelig.

kan ikke kommunikere via dette site

kan ikke komme ind på microsoft's hjemmeside

Som <john_stigers> skriver i #7 - en log er jo REN TEKST og hvis du ikke ka' finde ud af at COPY/SÆT IND, som mange andre har gennemført, så må du manuelt skrive samtlige bogstaver/ord fra Logteksten ind selv med fingrene...

kan kun skrive en gang imellem

det vil tage en dag at skrive det med fingrerne

må jeg maile dem til en af jer?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:02, on 01-11-2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\AVG\AVG9\avgchsvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programmer\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\Reg Tool\Reg Tool.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.tdconline.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Reg Tool] C:\Programmer\Reg Tool\Reg Tool.exe -boot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre6\bin\ssv.dll
O9 - Extra button: HP Klipsamling - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programmer\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Smart markering - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programmer\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\setutman.dll
O15 - Trusted Zone: musik.tdconline.dk
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200149302640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200149415062
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/mpp_236/webolr/OCX/FlashAX.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6296 bytes

så lykkedes det

har kørt ccleaner og fundet mere end 1100 mistænkelige objekter.

(Det var hurtigt skrevet *S*)

Du skriver i starten [XP-home med sp2] - men den er nu "kun" med [ Windows XP SP1] !!!

Altså en XP uden nogen som helst WindowsUpdate ? (Vi andre har kørt med SP3 i lang tid nu!)

---

Jo den er også (stadig) gal; bla
[Reg Tool] C:\Programmer\Reg Tool\Reg Tool.exe
http://www.2-spyware.com/remove-regtool.html

---

Må vi se/læse loggen fra MalwareBytes ?
Og IKKE fra CCleaner...

---

<b-and>: Du fortsætter bare ...

Jeg har gogglet links til microsoft,men siderne kan ikke vises?

Malwarebytes' Anti-Malware 1.36
Database version: 1945
Windows 5.1.2600 Service Pack 1

01-11-2009 16:54:10
mbam-log-2009-11-01 (16-54-10).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 145928
Tid tilbagelagt: 34 minute(s), 48 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 2
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 3

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35987d0b-55c5-5e6e-7a14-58b6f7f71f85} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{35987d0b-55c5-5e6e-7a14-58b6f7f71f85} (Trojan.BHO) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Qoobox\Quarantine\C\WINDOWS\system32\dq39326.dll.vir (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{659BCDC8-517A-4D52-A85F-6ACC6B9280C4}\RP5\A0001628.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\eiovh1.dll (Trojan.BHO) -> Quarantined and deleted successfully.

Du har glemt at opdatere malwarebytes inden du scannede - opdater og ny scanning og log herind.
Kan du ikke poste log, så mail mig den så poster jeg loggen.

Jeg kan ikke opdatere malwarebytes, får en fejlboks!

hvor henter Jeg den nyeste version?

har lige højreklikket på "min computer" og den siger at Jeg kører med SP1,har før haft SP3.I mappen tilføj/fjern programmer er der heller ikke tlsvarende opdateringer som tidligere.

har lige fundet ud af at bruge dette site.
Jeg skal først skrive teksten,så kopier den.så oprette den,så indsætte den,så oprette den igen. Så virker det.

Det er fordi du bruger en MEGET GAMMEL version af IE (Internet Explorer v6.00 SP1) - det går ikke så godt i denne moderne (?) version af Eksperten...

...hvor henter Jeg den nyeste version?... - det er MalwareBytes du mener ?
Læs på samtlige faneblade i programmet; så siger det sig selv!!!

tak larry,men jeg kan ikke komme ind af de sædvanlige links som i ligger ud,der er noget der forhindre mig i at nå visse sider!!

Ved klik på linket til http://www.2-spyware.com/remove-regtool.html får Jeg kun meddelelse om at siden ikke kan vises,som ved alle andre link's til anti-vir programmer.

Så prøver vi noget andet.

Kaspersky har lavet en Rescue CD der kan bruges, når/hvis du slet ikke kan komme ind i Windows, eller hvis du ikke kan få installeret andre værktøjer.

Du skal brænde den ISO-fil, du henter fra Kaspersky og derefter starte computeren fra CD'en.

Hent ISO-filen herfra:
http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/

Hent filen og gem den på skrivebordet, på en velfungerende PC - det er en ret stor fil på 100 MB så du skal være lidt tålmodig.

Dobbelt-klik på den downloadede fil. Nu skulle dit brænderprogram gerne starte op og klare brændingen, er det ikke tilfældet åben da dit brændeprogram > Filer > Åben > naviger til skrivebordet og find den downloadede fil og brænd den som en ISO.

Efter brændingen lægger du din nye Rescue CD i den defekte maskine og genstarter.

Lad maskinen boote op på CD'en og lad programmet opdaterer sig over nettet - vil nok kun virke på en maskine med kabel - så er det en bærbar så put et net-kabel på isenkrammet.  Ikke mulighed for det, så kør alligevel CD'en - så håber vi den alligevel kan få bugt med det som driller.

Du kan også bruge CD'en til at hente de filer ud som ikke må gå til hvis det ender med en formatering/gendannelse til fabriksindstillinger.

Har fået maskinen op at køre igen. Dissse programmer har hjulpet.

"combofix" "regtools" "Ad-aware SE" "Malwarebytes".

Jeg kører nu med "windows defender" som antivirus prg.

læg et svar for point.

Der er ikke meget antivirus i Windows Defender - det er et spywareprogram…

Hvis du skal ha' en gratis sikkerhedspakke så skal du hente følgende:

Avast Antivirus > http://www.avast.com/
Online Armor Firewall > http://www.tallemu.com/
Og så kan du bruge Windows Defender sammen med dem.

MEN jeg syndes det ville være en rigtig god idé og lægge nogle friske logs fra MBAM, og HJT - så de lige kan blive løbet igennem og du er sikker på at du ER ren… *S*

Microsoft Security Center er også et ok alternativ til Avast :)

Jeg tror det er denne du mener john_stigers
Microsoft Security Essentials > http://www.softpedia.com/get/Antivirus/Microsoft-Security-Essentials.shtml

Jeg kender ikke nok til den endnu - til at vurderer om den er god nok…

b-and

Nej det er også min egen mening - baseret helt uden at vide nok om programmet. Har kun prøvet det i 3 uger, og det fanger da en del når jeg lader maskinen besøge de mere suspekte sider på nettet.

Men om det så er godt nok, ja det er jeg ikke god nok til at vurdere, men som sagt, umiddelbart ser det ok ud.

Har hentet og installeret avast. Det ser ud til at virke ok.

Det lyder da godt - så må du til at fordele point efter fortjeneste… *SS*

Jeg kan se jeg har deltaget her, men da mine indlæg ikke er produktive nok ønsker jeg ikke point.