Rundll32.exe

Hent CCleaner her:
http://www.filehippo.com/download_ccleaner/

Installer CCleaner, og fjerne fluebenet udfor Yahoo Toolbar - ingen grund til at få det skrammel på.
Start > Fjern fluebenet i cookies.
Klik på kør Cleaner og lad den fjerne hvad den finder i både Windows og Programmer.  Kør et par gange eller til der ikke er mere og komme efter.
Klik så på Register ovre i venstre side (den blå terning), klik på Skan efter problemer, når den er færdig, klik på Udbedre valgte problemer, lav evt. en backup af registreringsdatabasen, klik så på udbedre alle valgte problemer.  Kør et par gange, eller til der ikke er mere og komme efter.
Klik på OK, klik på Luk når den er færdig.
Genstart.

-ooOoo-

Hent Malwarebytes Anti-Malware > http://www.spywarefri.dk/downloads1/mbam-setup.exe < og tryk på Kør…

Installer programmet - når det er gjort skal du lade programmet opdatere sig.  Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde.  Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).

Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.

OBS!!  Ovenstående scanning skal foretages som enkelt scanning for samtlige brugere på maskinen - det vil sige, at der skal logges ind på hver enkelt bruger og køres en scanning…

Kopier indholdet herind sammen med en frisk HJT-log, som du først laver efter Malwarebytes er kørt, og en genstart.

-ooOoo-

1. Hent nyeste version af HijackThis ned til skrivebordet.

2. Dobbeltklik på installationsfilen, og følg installationsvejledningen.

3. Dobbeltklik på det nye HijackThis ikon på skrivebordet.

4. På menuen der kommer op, klikker du på: Do a systemscan and save a logfile.

5. Efter et kort øjeblik åbner en logfil i notesblok, kopier teksten herind.

6. Hvis du ikke selv vælger at gemme loggen på skrivebordet, bliver den automatisk gemt på destinationen: C:/Programmer/hijackthis.log hvor du senere kan finde den.

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

OBS!!  Da renseprogrammer af mange sikkerhedsprogrammet vil blive opfattet som infektioner - er det en god idé at afbryde sikkerhedsprogrammerne under installation og scanninger…

Når du er i windows jobliste, så se lige i bunden - hvor meget er cpu belastet?
Hvis cpu kun kører 3% og da Rundll32.exe trækker en masse forskelligt, så kan du ikke bruge en Rundll32.exe på 97% til noget.

Hej
Tak begge to for jeres svar.
b-and
Jeg er igang med CCLeaner osv. og vender tilbage asap.
claes57
Vedr. joblisten så er CPU'en 100 % belastet.
mvh
femmming

Hej igen

Jeg er færdig med CCleaner nu, og det lader til at Rundll32.exe er deaktiveret, men skærmen er "helt tosset".
Ikonerne er store, oplysningen er 800 gange 600 og kan ikke ændres, og Farvekvalitet er "Lavest(4 bit) og kan ikke ændres.

Skal jeg fortsætte med Malwarebytes eller hvad gør jeg ?

mvh
femmming

Du fortsætter bare med listen…

Tak. Jeg kører på :-)

mvh
femming

Hej igen
Der går altså kuk i det i forbindelse med Anti-Malware.
Jeg kan ikke få det til at køre efter opdateringen.?

Det ser ellers ud til at PC'en kører bedre bortset fra skræmen, som er helt forkert.

mvh
femmming

Du skal lægge dine svar herinde i tråden og ikke via privatbeskeder. *SS*

Jeg tror nu du har infektioner på den maskine - især da du ikke kan få MBAM til at køre.

Prøve Malwarebytes igen - men i ændret form.

Hent Malwarebytes Anti-Malware herfra:
http://www.spywarefri.dk/downloads1/mbam-setup.exe

Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html


Hvis du oplever den fryser under download, så hold hænderne i lommen [;)] - for der kan ved forskellige infektioner godt gå lang tid under denne proces.

Når den er kommet ned på maskinen, så skal vi ha' omdøb den fra Malwarebytes' Anti-Malware til blot og hedde Malware

Dobbelklik på > Denne Computer > Lokal Disk (C:) > Programmer > find mappen > Malwarebytes' Anti-Malware > højreklik på den og vælg > Omdøb.  Giv den navnet > Malware.

Åbn så Malware mappen
Omdøb mbam.exe filen til mab.exe
Dobbeltklik så på mab.exe.
Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.


Hvis Malwarebyte vil genstarte for at fuldføre rensningen, så lad den genstarte.

Kopier Malwarebytes Anti-Malware loggen herind.

Hej
Tak for "ihærdigheden".
Jeg er nu tilbage ved "bordet".

Jeg har fået installeret Malware og omdøbt filen til mab.exe

Man når jeg forsøger at afvikle denne kommer fejlen :

Run-time error "0"

efterfulgt af :

Run-time errer "440": Automation error

Og så sker der ellers ikke mere ...?

Er der en løsning på dette ?

mvh
femmming

Hej igen

Nu er det endelig lykkedes mig at køre Malware og Hijackthis.
Her er filerne.
Håber nogen har forstand til at få noget ud af det :-)

mvh
femmming

Hijackthis.log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:28, on 25-12-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmer\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\sistray.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programmer\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programmer\Spyware Doctor\pctsAuxs.exe
C:\Programmer\Spyware Doctor\pctsSvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmer\TeamViewer\Version4\TeamViewer_Service.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programmer\TeamViewer\Version4\TeamViewer.exe
C:\Programmer\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Java\jre1.6.0_07\bin\jucheck.exe
C:\Documents and Settings\FH\Dokumenter\Hentede filer\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programmer\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmer\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programmer\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ntiMUI] C:\Programmer\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programmer\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmer\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programmer\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmer\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmer\Spyware Doctor\pctsSvc.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programmer\TeamViewer\Version4\TeamViewer_Service.exe

--
End of file - 5607 bytes

mbam-log-2009-12-25(19-31-39).txt :

Malwarebytes' Anti-Malware 1.42
Database version: 3428
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

25-12-2009 19:31:40
mbam-log-2009-12-25 (19-31-39).txt

Skan type: Fuldstændig skanning (C:\|D:\|)
Objekter skannet: 146033
Tid tilbagelagt: 33 minute(s), 24 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 6
Inficerede Mapper: 0
Inficerede Filer: 1

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Hmmm... Du har "BANG" lukket tråden her og begynder' forfra' her -> http://www.eksperten.dk/spm/896459 ??? Ikke lige det der er meningen...

Hej
Okay. Beklager. Forstår ikke rigtig systemet.
Grunden til jeg startede den anden tråd op, var egentlig
at jeg spurgte om hvad explorer.exe gjorde.
Vidste ikke på det tidspunkt, at det "udviklede sig" - og endte op i videre virus-søgning.
Lukker denne tråd nu. Hvis jeg ellers kan finde ud af det :-)
mvh
femmming