Modtaget mystiske mails i Outlook Express.

I har nok begge to fået grus i maskineriet.


Hent og installér CCleaner http://www.ccleaner.com/  og en manual her. http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den, det er en værktøjs linie som du sikkert  ikke har brug for.
Lad programmer foretage en oprydning i rens og registrer, og lad den slette det den finder.


Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen, du kan sende den ind til gennemsyn.


Når Malware er færdig, så kør lige en tur mere med CCleaner, så vi kan få det sidste slettet.
Lad programmer foretage en oprydning i rens og registrer, og lad den slette det den finder.


Hent  HiJackThis og lad den foretage en skanning, og send loggen ind til gennemsyn.
Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Hej Silibor
Jeg skal lige have taget backup, så går jeg igang.

Jeg er i fuld gang med at scanne efter dine anvisninger. Inden da har jeg konstateret følgende sammen med min veninde: Når hun sender en mail og vedhæfter en fil hvad enten det er et dokument eller et billede, stopper antivirusprogrammet den og spørger om hun vil give tilladelse til at sende den eller ej. Desværre gav hun af uvidenhed tilladelse til at sende til mig. Så det ser ud til, at hele miséren har noget med hendes adresseliste at gøre. Så derfor har jeg 3 computere, der skal efterses med jeres programmer.

Malwarebytes' Anti-Malware 1.41
Database version: 3099
Windows 5.1.2600 Service Pack 3

04-11-2009 18:28:54
mbam-log-2009-11-04 (18-28-54).txt

Skan type: Fuldstændig skanning (C:\|E:\|)
Objekter skannet: 158603
Tid tilbagelagt: 1 hour(s), 8 minute(s), 24 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Jeg sender logfil fra Malwarebytes Antimalware:

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:01, on 04-11-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16915)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programmer\TDCSikkerhedspakke\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmer\Bonjour\mDNSResponder.exe
C:\Programmer\TDCSikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\TDCSikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\TDCSikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programmer\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programmer\TDCSikkerhedspakke\Common\FSHDLL32.EXE
C:\Programmer\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TDCSikkerhedspakke\FWES\Program\fsdfwd.exe
C:\Programmer\TDCSikkerhedspakke\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TDCSikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\admin\Skrivebord\Hijack This\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0406/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0406&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmer\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Programmer\TDCSikkerhedspakke\NRS\iescript\baselitmus.dll
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Programmer\TDCSikkerhedspakke\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmer\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [Cpqset] C:\Programmer\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\TDCSikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\TDCSikkerhedspakke\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmer\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmer\Fælles filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-tjeneste (Bonjour Service) - Apple Inc. - C:\Programmer\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmer\TDCSikkerhedspakke\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\TDCSikkerhedspakke\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\TDCSikkerhedspakke\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmer\TDCSikkerhedspakke\ORSP Client\fsorsp.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmer\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programmer\CDBurnerXP\NMSAccessU.exe

--
End of file - 6488 bytes

Hvad sker der hvis du prøver at sende mail, det kan være at du er gået fri, din veninde skal have renset sin PC.
Du kan også lige prøve om combofix kan finde noget.
-- Hent Combofix fra et af disse links, og gem den på dit skrivebord:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

NB: Du må ikke gemme og døbe den Combofix.exe, men eksempelvis BANAN.exe

-- Kør så combofix.exe (BANAN.exe), som du hentede tidligere, og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

Inden jeg kører Comfix prøvede jeg lige at sende en mail med vedhæftet fil. Resultatet var det samme. TDC Sikkerhedspakke poppede op og fortalte, at e-mailen var blokeret.

Den skriver følgende: Forkert udformet meddelelse. Dernæst: Dette er e-mail-scanningsrapporten. Den viser de e-mails, som indeholder en inficeret vedhæftet fil eller en forkert formet header.

Jeg kan fint sende mails uden vedhæftet fil. Sender jeg mail med vedhæftet fil fra computeren - ligegyldig hvilken - får jeg ovenstående meddelelse fra TDC Sikkerhedspakke (F-secure).

Jeg er mest tilbøjelig til at slette styresystemet og installere et nyt. Nu prøver jeg lige en sidste gang med Combofix.exe.

ComboFix 09-11-04.05 - admin 05-11-2009 11:33.1.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.447.227 [GMT 1:00]
Kører fra: c:\documents and settings\admin\Skrivebord\Combofix\BANAN.exe
AV: TDC Sikkerhedspakke 9.01 *On-access scanning disabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
FW: TDC Sikkerhedspakke 9.01 *disabled* {D4747503-0346-49EB-9262-997542F79BF4}
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1119135687-1334582142-4069121260-1003
c:\recycler\S-1-5-21-1644491937-152049171-1708537768-1003

.
(((((((((((((((((((((((((((((  Filer skabt fra 2009-10-05 til 2009-11-05  )))))))))))))))))))))))))))))))))))
.

2009-11-04 16:13 . 2009-11-04 16:13    --------    d-----w-    c:\documents and settings\admin\Application Data\Malwarebytes
2009-11-04 16:13 . 2009-09-10 13:54    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-04 16:13 . 2009-11-04 16:13    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-04 16:13 . 2009-09-10 13:53    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-11-04 16:13 . 2009-11-04 16:13    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-11-04 15:32 . 2009-11-04 15:32    --------    d-----w-    c:\programmer\CCleaner
2009-11-04 13:07 . 2009-11-04 13:07    --------    d-----w-    c:\documents and settings\admin\Application Data\Canneverbe_Limited
2009-11-04 13:07 . 2009-11-04 13:07    --------    d-----w-    c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-11-04 13:07 . 2009-09-28 19:57    7168    ----a-w-    c:\windows\system32\drivers\StarOpen.sys
2009-11-04 13:07 . 2009-11-04 13:07    --------    d-----w-    c:\programmer\CDBurnerXP
2009-11-03 14:14 . 2009-11-04 11:43    --------    d-----w-    c:\documents and settings\admin\Application Data\f-secure
2009-11-03 11:33 . 2009-11-03 11:33    --------    d-----w-    c:\documents and settings\NetworkService\Lokale indstillinger\Application Data\F-Secure
2009-11-03 11:33 . 2009-11-03 11:38    33920    ----a-w-    c:\windows\system32\drivers\fsbts.sys
2009-11-03 11:32 . 2009-08-05 15:57    80000    ----a-w-    c:\windows\system32\drivers\fsdfw.sys
2009-11-03 11:31 . 2009-11-04 10:59    --------    d-----w-    c:\programmer\TDCSikkerhedspakke
2009-11-03 11:30 . 2009-11-03 11:30    --------    d-----w-    c:\documents and settings\All Users\Application Data\fssg
2009-11-03 09:54 . 2009-11-03 11:32    --------    d-----w-    c:\documents and settings\All Users\Application Data\F-Secure
2009-10-25 16:41 . 2009-09-11 14:19    136192    ------w-    c:\windows\system32\dllcache\msv1_0.dll
2009-10-25 16:41 . 2009-06-25 08:26    54272    ------w-    c:\windows\system32\dllcache\wdigest.dll
2009-10-25 16:41 . 2009-06-25 08:26    301568    ------w-    c:\windows\system32\dllcache\kerberos.dll
2009-10-25 16:41 . 2009-06-24 11:18    92928    ------w-    c:\windows\system32\dllcache\ksecdd.sys

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 11:32 . 2002-10-04 22:25    84908    ----a-w-    c:\windows\system32\perfc006.dat
2009-11-03 11:32 . 2002-10-04 22:25    461960    ----a-w-    c:\windows\system32\perfh006.dat
2009-09-11 14:19 . 2002-09-16 02:00    136192    ----a-w-    c:\windows\system32\msv1_0.dll
2009-09-04 21:04 . 2002-09-16 02:00    58880    ----a-w-    c:\windows\system32\msasn1.dll
2009-08-29 07:28 . 2002-09-16 02:00    832512    ----a-w-    c:\windows\system32\wininet.dll
2009-08-29 07:28 . 2008-09-03 13:00    78336    ------w-    c:\windows\system32\ieencode.dll
2009-08-29 07:28 . 2002-09-16 02:00    17408    ----a-w-    c:\windows\system32\corpol.dll
2009-08-26 08:02 . 2002-09-16 02:00    247326    ----a-w-    c:\windows\system32\strmdll.dll
2009-08-17 13:36 . 2008-09-03 13:21    29856    ----a-w-    c:\documents and settings\admin\Lokale indstillinger\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-14 290816]
"Display Settings"="c:\programmer\HPQ\Notebook Utilities\hptasks.exe" [2002-08-15 45056]
"QT4HPOT"="c:\progra~1\HPQ\ONE-TO~1\OneTouch.EXE" [2002-10-14 98304]
"Cpqset"="c:\programmer\HPQ\Default Settings\cpqset.exe" [2002-10-23 176197]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-15 196608]
"F-Secure Manager"="c:\programmer\TDCSikkerhedspakke\Common\FSM32.EXE" [2009-08-05 199264]
"F-Secure TNB"="c:\programmer\TDCSikkerhedspakke\FSGUI\TNBUtil.exe" [2009-08-05 2349664]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2002-08-15 28672]
"CARPService"="carpserv.exe" - c:\windows\system32\carpserv.exe [2003-05-21 4608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menuen Start\Programmer\Start\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programmer\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmer\\iTunes\\iTunes.exe"=

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [03-11-2009 12:33 33920]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [03-11-2009 12:32 80000]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programmer\TDCSikkerhedspakke\HIPS\drivers\fshs.sys [03-11-2009 12:31 68064]
R3 ALiIRDA;ALi Infrared Device Driver;c:\windows\system32\drivers\aliirda.sys [04-01-2003 00:17 26112]
R3 CALIAUD;Conexant AMC 3D Environmental Audio;c:\windows\system32\drivers\caliaud.sys [03-01-2003 15:20 292352]
R3 CALIHALA;CALIHALA;c:\windows\system32\drivers\calihal.sys [03-01-2003 15:20 273536]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [04-01-2003 00:17 16512]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programmer\TDCSikkerhedspakke\Anti-Virus\minifilter\fsgk.sys [03-11-2009 12:31 101496]
R3 FSORSPClient;F-Secure ORSP Client;c:\programmer\TDCSikkerhedspakke\ORSP Client\fsorsp.exe [03-11-2009 12:31 55928]
S2 SampleScanner;USB-Flachbettscanner;c:\windows\system32\DRIVERS\ArtecGT.sys --> c:\windows\system32\DRIVERS\ArtecGT.sys [?]
S3 LEX_NIC_SERVICE;IEEE 802.11 Wireless NIC Win2000 Driver;c:\windows\system32\drivers\Express.sys [04-01-2003 00:17 57344]
S4 F-Secure Filter;F-Secure File System Filter;c:\programmer\TDCSikkerhedspakke\Anti-Virus\win2k\fsfilter.sys [03-11-2009 12:31 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programmer\TDCSikkerhedspakke\Anti-Virus\win2k\fsrec.sys [03-11-2009 12:31 25184]

--- Andre Services/Drivers i Hukommelsen ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Indhold af mappen 'Planlagte Opgaver'

2009-11-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Yderligere scanning -------
.
uStart Page = hxxp://www.google.dk/
mSearch Bar = hxxp://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=0406&s=search&ap=b204
uInternet Connection Wizard,ShellNext = "c:\programmer\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
LSP: c:\programmer\TDCSikkerhedspakke\FSPS\program\FSLSP.DLL
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-05 11:43
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programmer\HPQ\Default Settings\cpqset.exe???????????????n??|?????? ?X#B????????? ???l|B????????

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'lsass.exe'(708)
c:\programmer\TDCSikkerhedspakke\FSPS\program\FSLSP.DLL

- - - - - - - > 'explorer.exe'(2272)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Gennemført tid: 2009-11-05 11:46
ComboFix-quarantined-files.txt  2009-11-05 10:46

Pre-Kørsel: 43.824.623.616 byte ledig
Post-Kørsel: 44.485.771.264 byte ledig

WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

Efter jeg havde kørt ComboFix prøvede jeg igen at sende en e-mail med vedhæftet fil fra hendes maskine. Resultatet var det samme. I dialogboksen fra OU står der følgende:

Der er opstået en ukendt fejl. Emne "P4010046.jpg (02/30)". Konto: "pop3.mail.dk". Server: "smtp.mail.dk. Protokol: SMTP. Svar fra server: "451 The server connection is terminated". Port: 25. Sikker (SSL): Nej. Serverfejl: 451. Fejlnummer: 0x800CCC6A

Jeg tror også at den bedste måde at slippe af med snavset er at lave en genindstallation hvor HD bliver formateret samtidig, det er nok også det hurtigste.

Det ser ud til, at problemet er løst nu. Jeg prøvede at google fejlmeldingen i OU dialogboksen og kom frem til, at det kunne være en skade i OU. Jeg slettede kontoen og oprettede en ny og det ser ud til at funke. Du har gjort et stort arbejde for at hjælpe mig og det har været interessant at se, hvordan man får gjort kål på orme og trojanske heste. Så derfor skal du have points'ene. Så hvis du vil give et pip.

Har gjort i #10.