Genetablerer fil efter virus.

Glemte måske lige at nævne:
W98SE
IE6

instalere programmet igen så er du sikker

Det er snavs, er jeg sikker på, men er ved at undersøge det.

loader.exe Hijacker, downloader for iedll.exe
Se om du har et program der hedder Loader.exe.
Bagefter tager du lige den store tur.*S*
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Jeg fandt loader.exe i windows.
Den er oprettet 9 min. efter iedll.exe er ændret. Men det er på et tidspunkt hvor maskinen ikke har været brugt.

Begge filer skal slettes, men vent til vi har gennemgået din Hijackthislog.

Vil du ha´ det hele? Det fylder jo godt op her.

Men jeg kan se begge filer i forbindelse med reg.databasen.
Kan jeg bare slette dem og derefter redigere i reg.databasen?

smid bare det hele her ind

Det er disse linier jeg mener:

O4 - HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [loader] C:\WINDOWS\LOADER.EXE

Logfile of HijackThis v1.96.4
Scan saved at 00:20:03, on 06-09-03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SISAUDUT.EXE
C:\PROGRAMMER\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMER\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\IMGSTUD.EXE
C:\WINDOWS\TWAIN_32\QUICKCAM\HVIDEOS.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\FXSVR.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\ALBUMDB.EXE
D:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.backside.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/hp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS7012Utility] C:\WINDOWS\SYSTEM\SiSAudUt.exe -wdm
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [loader] C:\WINDOWS\LOADER.EXE
O4 - HKLM\..\RunOnce: [OfficeTuneUp] "C:\Programmer\Microsoft Office\Office\otuneup.exe" -B
O4 - HKLM\..\RunOnce: [Lusetup] C:\PROGRA~1\SYMANTEC\LIVEUP~1\LUSETUP.EXE -a -q -log
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLENAV.DLL/cmbacklinks.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/da/deleon/1.1.62-deleon/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37867.5911458333
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

Hvis du fixer dem med Hijackthis, er de væk, så behøver du ikke at pille med Regedit.*S*
Men kom med hele logfilen, så tjekker vi den lige igennem i morgen.*S*
Husk hvis du alligevel gør det at deaktivere systemgendannelse hvis du bruger XP eller ME.

OK.*S*
Det bliver ikke før i morgen, men så får du også det hele med, der er lidt skidt i den.

Jeg har det nu godt nok med regedit. Jeg har det være med programmer der gør den slags for mig. *G*

Ok, jeg ser ind forbi igen i morgen så. Sov godt. ;)

Installer og kør dette fix som klare de omtalte 04 filer mm.
http://www.spywareinfo.com/~merijn/files/cwshredder.zip

Derefter skal ud lige køre en ny HijackThis, så jeg kan tjekke om du er clean.

Jeg har fået løst problemet med hjælp fra fromsej.
Smid et svar.
(der går et par dage før jeg lukker, er ikke hjemme igen før mandag)

Ikke forstået. Du har ikke fået et svar af fromsej, men det fix du fik af mig ville slette flere af de ting som ligger på din puter, incl. dem du ikke kunne få væk selv. Og det var ikke de eneste to som du havde kan jeg fortælle dig.

aovergaard>> Jeg har ikke prøvet dit "fix", men jeg kan ikke finde flere problemer efter jeg fik de oplysninger af fromsej.
Men jeg er da stadig åben for oplysninger. Sig frem.....  ;)

Log for cwshredder:

- 0 registry values were killed
- Hostsfile was OK
- Bootconf.exe was not present
- Trusted Zone was OK
- User stylesheet was OK
- Oemsyspnp.inf was not present
- Svchost32.exe was not present
- Msspi.dll Winsock hook was not present
- Msinfo.exe was not present
- Winshow.dll BHO was not present

Windows 98 (4.10.2222)
CWShredder v1.12.1
Written by Merijn - merijn@spywareinfo.com

Får man noget ud af den?

Ja, vi fik da afkræftet en mistanke, det var godt nok, jeg/vi kigger på logfilen i løbet af dagen.*S*

Vi må hellere tage kontakt til Merijin, den burde have fjernet Cool Web Search, det er de approvedlinks i din logfil.

Ja det var disse som det fix prg. jeg gav dig skulle have fjernet:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://approvedlinks.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.backside.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://approvedlinks.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://approvedlinks.com/hp.htm
samt disse to:
O4 - HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [loader] C:\WINDOWS\LOADER.EXE

Nu ved vi jo ikke om du har fjernet dem manuelt eller om vi skal kontakte Merijin for at høre hvorfor de ikke er væk, så hvis du lige vil komme med en ny log som vi lige kan kigge på, samt oplyse os om du selv har fjernet dem via Hijackthis eller om de er der endnu.

Kør Hijackthis igen scan og sæt flueben i de linier Aovergaard har givet dig, samt dem jeg har med, luk alle vinduer undtaget Hijackthis og klik på fix checked.
Genstart i fejlsikker og slet den jeg har skrevet nederst, genstart  normalt og læg en ny logfil, så vi er 100% sikre på at alt er væk.

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

Slettes:
C:\PROGRAMMER\FæLLES FILER\REAL\UPDATE_OB\REALSCHED.EXE

Du skal selvfølgelig ikke slette:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.backside.dk/

*S* Nej den fromsej lige nævner smuttede med i farten, havde ikke lige set den lå mellem alt det som skulle væk.

Har store problemer med opstart nu. NÅR der er gang i den er den meget tung.
Noget er gået helt galt. :(
Det bliver en formatering igen, det er ikke det store problem da jeg lige har gjort det dagen før alt dette startede.
Jeg takker for hjælpen og smider lidt flere point i hovedet på jer begge.

Hmm, det irriterer mig lidt at det skal ende der, men hvis du alligevel ikke mister mere end det er til at overleve, så er det vel iorden.;o)
Når du har geninstalleret og installeret dit Antivirus, så gå ind her:
http://www.spywarefri.dk/vaerktoj.htm
Hent Spywareblaster, Spywareguard, IE-Spyad og Empty Temp folders, det holder det meste ude, især hvis de bliver holdt opdaterede.
Tak for point.*S*

fromsej, jeg kan ikke se hvad du skriver.
Siden er blank.  :/