Trojansk.Gen.3

Hvis du går ind i joblisten og kigger under processer, har du så en tjeneste kørende der hedder random.exe?

Jeg fandt et link til hvordan man måske skulle kunne fjerne den manuelt:
http://guides.yoosecurity.com/how-to-remove-trojan-gen-3/
Når du går i registreringen, så tag lige en backup før du går i gang.

PS Når du scanner med antivirus og Malwarebytes, finder de så begge infektionen?

De har fundet 2 stks. men det er desværre ikke dem alle.

Der er 14 inficerede filer i en mappe der hedder "C:\sers\GRUE.ADMIN-HOME\AppData\Local\Temp\dwh40c4.exe

hvordan tager jeg en backup ?

Der er ikke noget der hedder random.exe desværre :(

Når du er i registreringen går du i filer og vælger eksporter.
Du giver filen et navn som du kender og gemmer den så du kan finde den.Så har du taget backup af registeret.
Herefter renser du ud i registreringen, hvis de omtalte filer er der.
Kan du ikke slette dwh40c4.exe filen/mappen manuelt?

Hej

Tjek disse links. Havde en W32.Downadup og fjernede den med disse avg tools:

http://www.avg.com/us-en/avg-rescue-cd

http://www.avg.com/us-en/download.prd-arl

Disse viruser kan ikke fjernes da de kopiere sig selv og gemmer sig og bliver behandlet som system filer

jo kan jeg godt, men den kommer umiddelbart igen.

Prøver det som du har anbefalet.

kan de SLET ikke fjernes?

kan de SLET ikke fjernes?

Hvilket styresystem ?

Må vi se nyeste log fra MalwareBytes ?

---

PS: Du skal ikke selv lægge [svar]; er 'reserveret' til (til løsninger og pointgivning), som der står. Når man ser oversigten over spørgsmål, tror folk at der er lagt løsning/svar og så bliver spørgsmålet sprunget over...

Windows 7 professionel


Malwarebytes Anti-Malware (Prøveversion) 1.75.0.1300
www.malwarebytes.org

Database version: v2013.09.12.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
GRUE :: H714_PC58 [administrator]

Beskyttelse: Slået til

12-09-2013 09:52:20
MBAM-log-2013-09-12 (10-28-11).txt

Skanningstype: Hurtig skanning
Skanningsmuligheder valgt: Hukommelse | Opstart | Registreringsdatabasen | Filsystem | Heuristics/Ekstra | Heuristics/Shuriken | PUP | PUM
Skanningsmuligheder som er deaktiverede: P2P
Objekter skannet: 270578
Tid gået: 14 minut(ter), 18 sekund(er)

Hukommelses Processorer Inficeret: 0
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret: 1
HKCU\SOFTWARE\BabylonToolbar (PUP.Optional.BabylonToolBar.A) -> Ingen handling valgt.

Registreringsdatabaseværdier Inficeret: 0
(Ingen skadelige objekter blev fundet)

Registreringsdatabasedata Objekter Inficeret: 0
(Ingen skadelige objekter blev fundet)

Inficerede Mapper: 0
(Ingen skadelige objekter blev fundet)

Inficerede Filer: 1
C:\Users\Grue.ADMIN-HOME\Downloads\DTLite4461-0328.exe (PUP.Optional.OpenCandy) -> Ingen handling valgt.

(færdig)

Kan se den fandt 2 inficerede filer - har fået malwarebytes til at fjerne de 2, men de kommer desværre igen :(

Den viser pt. 32 .exe filer der er inficerede i min norton. Men den kan ikke fjerne dem.

SUK -

...Ingen handling valgt...

ved du hvad det betyder ;-) ?

Der er en 'knap' til sidst, som siger/skriver [Slet det valgte] ... Brug den ...

... samt

Prøv at hente AdwCleaner her:
http://www.bleepingcomputer.com/download/adwcleaner/dl/125/
(Der går lige 5 sek før du skal trykke på gem)
Start programmet, og når det er startet trykker du på "slet"
Pc scannes, og ved endt scanning skal pc genstartes.
Tilbage fra genstart kommer en log, som du gerne må kopiere herind.

Har skam trykket på knappen efterfølgende. Den slettede de 2, men lige lidt hjalp det.

Prøver lige AdwCleaner :)

# AdwCleaner v3.003 - Report created 12/09/2013 at 22:30:47
# Updated 07/09/2013 by Xplode
# Operating System : Windows 7 Professional Service Pack 1 (64 bits)
# Username : GRUE - H714_PC58
# Running from : C:\Users\Grue.ADMIN-HOME\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0JGT3ROM\AdwCleaner.exe
# Option : Clean

***** [ Services ] *****


***** [ Files / Folders ] *****

Folder Deleted : C:\ProgramData\apn
Folder Deleted : C:\ProgramData\Babylon
Folder Deleted : C:\Users\Grue.ADMIN-HOME\AppData\Roaming\Babylon
File Deleted : C:\END
File Deleted : C:\Users\Grue~1.ADM\AppData\Local\Temp\Uninstall.exe

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\Prod.cap
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_RASMANCS
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASAPI32
Key Deleted : HKLM\SOFTWARE\Microsoft\Tracing\WajamUpdater_RASMANCS
Key Deleted : HKCU\Software\a08f8fb468be48
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : HKCU\Software\BI
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKCU\Software\filescout
Key Deleted : HKCU\Software\AppDataLow\Software\lyricspal
Key Deleted : HKLM\Software\Babylon
Key Deleted : HKLM\Software\DataMngr
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bi_uninstaller

***** [ Browsers ] *****

-\\ Internet Explorer v10.0.9200.16660

... og status nu ?

Du kan prøve denne fra Microsoft selv
Det er den øverste knap på siden.
http://www.microsoft.com/security/scanner/en-us/default.aspx

Den skal ikke installeres, den afvikles bare, du kan så vælge i hvilken grad den skal skanne.

Den kan ikke bare erstatte et AV program, det er en dybdegående skanner.



Der er andre redskaber på siden også.

status er at den var clean i 5-6 timer. Men desværre poppede der advarsler frem igen. Dog denne gang kan norton sætte dem i karantæne.

Microsoft scanningen finder ingenting. :(

Det er længe siden så jeg er lidt rusten, men.
Prøv at disable systemrestore
Opdater Norton
Lav endnu en grundig skanning, lad den slette hvad den finder.
Ryd op med malwarebytes.

Brug Ccleaner (dog forsigtigt)
jeg tror Karise er eksperten her :-)

Har du installeret windows fra en cd/dvd så sæt den i drevet, der skal dog ikke startes fra cd/dvd'en

tryk på start
i søg skriv cmd
højreklik på cmd ikonet og vælg kør som administrator
I cmd vinduet skriv sfc/scannow
Så vil windows starte med at skanne samtlige systemfiler, og erstatte fejlagtige med de ægte fra cd/dvd drevet.


Genstart.
kør Norton igen
Kør malwarebytes igen
Kør Cclean igen

Genstart en gang til
og kør som normalt og se hvad der sker, kommer den ikke igen efter normalt brug i 1-3 dages tid, så få ryddet op i dine restorepoints. Den kan have lagt sig der, og henter sig selv ind.

Denne lange procedure har jeg brugt en del gange og det har virket de fleste gange.
Jeg kan ikke lige huske den du har her, men prøv.

Har prøvet alle de programmer - på nær at sætte Windows cden i.

Kan jeg prøve.

min norton kommer med denne melding hele tiden.

Kategori: Trojan

Beskrivelse: Dette program er skadeligt og udfører kommandoer fra en person med ondsindede hensigter.

Anbefalet handling: Fjern denne software med det samme.

Security Essentials registrerede programmer, der kan kompromittere dine personlige oplysninger eller skade computeren. Du kan stadig få adgang til de filer, som disse programmer bruger, uden at fjerne dem (anbefales ikke). Hvis du vil have adgang til disse filer, skal du vælge handlingen Tillad og klikke på Anvend handlinger. Hvis denne indstilling ikke er tilgængelig, skal du logge på som administrator eller bede sikkerhedsadministratoren om hjælp.

Elementer:
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ1CF7.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ1D46.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ2615.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ2636.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ5E96.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ60B9.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ6516.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ6620.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ95A.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQ999.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQA09D.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQA0CD.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQD1F0.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQD25E.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQE799.tmp
file:C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\SRTSP\Quarantine\APQEAB6.tmp
file:C:\Users\Grue.ADMIN-HOME\AppData\Local\Temp\dwhfe9e.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh11b6.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh123f.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh12bc.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh23ec.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh24a4.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh28b7.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh2dfa.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh2f07.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh3700.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh4334.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh441a.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh45aa.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh4794.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh49d1.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh4ef.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh54.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh5876.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh5ba2.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh5e3a.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh61e4.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh643c.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh6df9.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh702c.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh746a.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh7739.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh78a7.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh8507.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh8590.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh869a.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh9195.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh9380.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh96b1.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh9c8a.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwh9e14.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwha450.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwha7cc.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhac73.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhaf54.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhb881.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhc078.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhc1cc.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhc272.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhc4b1.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhc4f4.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhd17e.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhd1e.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhd985.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhdae3.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhdcf7.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhe05.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhe1d4.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhe709.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhf2a8.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhf390.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhf3a3.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhf5cd.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhf627.exe
file:C:\Users\GRUE~1.ADM\AppData\Local\Temp\dwhfe9e.exe

Har fundet en fil som er lokaliseret "C:\Users\Grue.ADMIN-HOME\AppData\Local\Temp\FXSAPIDebugLogFile.txt"

Den er tom, og kan ikke slettes. Kan det være noget med den ?

... SLET den i "Fejlsikker Tilstand" !!!

Og slet "Quarantine" elementer i Symantec ...

den kan heller ikke slettes i fejl sikret tilstand

"Kan jeg prøve"
Har du kørt det hele i den rækkefølge jeg har skrevet.

Hvis der er en chance for at det virker, så skal denne procedure følges.

Det skulle ikke være et svar :-/

Hmmm...

Download HiJackThis
http://www.bleepingcomputer.com/download/hijackthis/dl/90/

Gem et sted du kan finde igen  ;-)

HøjreMusseTast - "Kør som Admin..."

Misc. Tools - "Delete at file om reboot..."

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:40:34, on 15-09-2013
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v10.0 (10.00.9200.16686)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Common Files\Portrait Displays\Drivers\SDKCOMServer.exe
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\ccSvcHst.exe
C:\Program Files (x86)\TrojanHunter 5.5\THGuard.exe
C:\Program Files (x86)\Vuze\Azureus.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\PROGRA~2\Symantec\SYMANT~1\121110~1.105\Bin\DWHWizrd.exe
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\SavUI.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Users\Grue.ADMIN-HOME\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://homenet.home.dk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://homenet.home.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\bin\IPS\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {876d9f09-c6d6-4324-a2cc-04dd9a4de12f} - C:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
O4 - HKLM\..\Run: [USB3MON] "C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETVÆRKSTJENESTE')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: S&end til OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Sammenkædede OneNote-noter - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Sammenkædede OneNote-noter - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: *.danskebank.dk
O15 - Trusted Zone: bi.home.dk
O15 - Trusted Zone: cbsys.home.dk
O15 - Trusted Zone: dataportal.home.dk
O15 - Trusted Zone: homenet.home.dk
O15 - Trusted Zone: homeuniversity.home.dk
O15 - Trusted Zone: intranet.home.dk
O15 - Trusted Zone: login.home.dk
O15 - Trusted Zone: service.home.dk
O15 - Trusted Zone: sharepoint.home.dk
O16 - DPF: {5554DCB0-700B-498D-9B58-4E40E5814405} (RSClientPrint 2008 Class) - https://bi.home.dk/ReportServer/Reserved.ReportViewerWebControl.axd?ExecutionID=bbxooe45rb5s53bziklp0m55&Culture=1030&CultureOverrides=False&UICulture=9&UICultureOverrides=False&ReportStack=1&ControlID=7ce3bd8895ab4feab319844ff38836f0&OpType=PrintCab&Arch=X86
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://home.sp3.dk/ActiveX/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = admin.intra.home.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = admin.intra.home.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = admin.intra.home.dk
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - Winlogon Notify: SEP - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\WinLogoutNotifier.dll (file missing)
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\windows\system32\fxssvc.exe (file missing)
O23 - Service: HP Power Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\windows\system32\Hpservice.exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - c:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) ME Service - Unknown owner - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files (x86)\PDF Complete\pdfsvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: Symantec Endpoint Protection (SepMasterService) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin\ccSvcHst.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin64\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\12.1.1101.401.105\Bin64\snac64.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\windows\system32\wbengine.exe (file missing)
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Broadcom Corporation - C:\Program Files\Broadcom\Broadcom 802.11\WLTRYSVC.EXE
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12171 bytes

... og status nu ?

Har fået en log, som jeg har smidt herind.

Du må lige uddybe hvad du mener med "Misc tools"

HiJackThis - forsiden:
[Open the Misc Tools section]
[Delete a file on Reboot]
Find omtalte ### fil i listen...
Følg guiden ...