PUP i Jobliste, er det virus??

http://www.answerway.com/viewans.php?pgtitle=Acronyms+%26+Abbreviations&expid=coreybryant&category=281&msection=&quesid=15235&ansid=52725

her ellers en forklaring fra symantec, hvordan du fjerner den
http://securityresponse.symantec.com/avcenter/venc/data/trojan.adclicker.html

Gå ind på www.spywarefri.dk hent Spybot og hijackthis, du finder begge under værktøj.
Installer og kør Spybot, opdater online, scan og afhjælp valgte problemer, genstart.
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
slet ikke noget selv med hijackthis, det er risikabelt, og gør tingene sværere for os.

Det er spyware, tilsyneladende en dialer af en slags.

Fromsej: Jeg har installeret Spybot nu, opdateret online, samt trykket Search & Destroy, den finder mange, ja en lang liste...hvad gør jeg så????

LOG:

Logfile of HijackThis v1.97.2
Scan saved at 09:57:17, on 30-09-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\ahead\InCD\InCD.exe
C:\Programmer\Ontrack\ZipMagic\zm32NT.exe
C:\WINNT\System32\NILaunch.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\System32\73583620.exe
C:\WINNT\System32\ctfmon.exe
C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\WGR7\Skrivebord\Tegninger og Pic's Fra CD-er\Små programmer\Spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.scanding.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe"
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programmer\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37847.9669212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CCS\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{05B579AF-8C97-416B-A125-84F92FF3EC09}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{167BF8D6-CFB1-4F13-8DD9-41C9F21620DA}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{75E74A8A-B095-4CED-9BCE-43C902B1F95B}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D5E080-4529-40D9-B25A-4C85D2FBE806}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS1\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS2\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164

De links i har givet mig, fører altså ikke til noget der kan afhjælpe problemet. Der findes ikke noget i Regedit der hedder: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run osv.

misskat>> den nøgle er vist med i alle windows registreringsdatabaser. Hent et lille program, registry crawler, den gør det nemmere :) søg bare efter f.eks "run" med det. du får linket om et øjeblik.

registry crawler kan hentes her:
http://www.4dev.com/
men pas på hvad du sletter!

*S* Det jeg mente var nu, at jeg ikke kunne finde de ting jeg åbenbart skulle finde i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sådanne ting som...winpup32.exe

http://www.answerway.com/viewans.php?pgtitle=Acronyms+%26+Abbreviations&expid=coreybryant&category=281&msection=&quesid=15235&ansid=52725 der kan jeg heller ikke skrive de der ting i command.

Eller jo, jeg kan godt skrive dem i command, men det sker der ikke noget ved, andet end at den skriver noget med at det ikke er genkendt som interne eller ekstern kommando et program eller en batchfil...

misskat -> Kender du noget til nogle af dem her

C:\WINNT\System32\73583620.exe

C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe

O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe"

O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

C:\WINNT\System32\73583620.exe

Kender jeg ikke. RagTime er et tilføjelses program til adobe indesign *ss*

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion.  Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {4FCFF034-6F56-4D65-8C31-70D98C475428} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

Derefter Genstarter du i fejlsikret tilstand, find følgende filer i Stifinder og slet dem.

C:\WINNT\System32\NILaunch.exe
C:\WINNT\System32\73583620.exe

Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Jamen jeg kan jo godt sige, at det er noget jeg ikke kender til, men firmaets datter sidder og bruger min maskine om aftenen, til spil osv, så jeg aner ikke om det vil ødelægge det for hende. Ligeledes er der installeret nogle firma mæssige ting, som jeg ikke aner, om det skal bruges på maskinen (netværkting, fakturerings, osv...).

Sorry, jeg kan ikke finde ud af at finde de ting du siger jeg skal finde og slette med SpyBot...En guide sådan emd punkt for punkt, vil være værdifuldt. Pleace :-/

Alt netværk opsætning har jeg taget højde for.

Der er ikke noget at dette der vil ødelægge noget for hende.

Du kan roligt fixe det ovenover.



Ikke spybot... Du skal åbne hijackthis igen og derinde skal du sætte en vinge ud for de linier ovenover

C:\WINNT\System32\73583620.exe = Pup.exe

fromsej ->er det noget til f-prot

misskat ->Den fil fromsej henviser til skal du ikke slette..

Jeg har slettet alt det han skrev jeg skulle, så det er sq too late!!

Nej det var hvad du sagde Arlet, som jeg har slettet...jeg bliver forvirret og nervøs, når i retter sådan på hinanden, for pokker da!!

Hvad er n-CASE??
Jeg fik en advarsel lige nu, at systemet har opdaget at nogle 3. part applikationer er slettet (nCASE Alert)...

Hm, photoshop kan stadig ikke starte, det er noget godt skidt...Jeg er vist nødt til at fortælle chefen, at jeg har lavet noget lort i maskineriet...Øv!

Log:

Logfile of HijackThis v1.97.2
Scan saved at 15:44:57, on 30-09-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\ahead\InCD\InCD.exe
C:\Programmer\Ontrack\ZipMagic\zm32NT.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\System32\66250246.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINNT\System32\ctfmon.exe
C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\WGR7\Skrivebord\Tegninger og Pic's Fra CD-er\Små programmer\Spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=132702
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132702
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132702
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.scanding.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem215.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37847.9669212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CCS\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{05B579AF-8C97-416B-A125-84F92FF3EC09}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{167BF8D6-CFB1-4F13-8DD9-41C9F21620DA}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{75E74A8A-B095-4CED-9BCE-43C902B1F95B}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D5E080-4529-40D9-B25A-4C85D2FBE806}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS1\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS2\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164

Du må lige vente lidt. forsøger lige at tilkalde forstærkning...

Pup er stadig i windows jobliste...Så intet har hjulpet. Da jeg slettede C:\WINNT\System32\73583620.exe, så jeg der også var en: 66250246 og 30337160. Har de også noget med sagen at gøre?

Hvad gør den virus egentlig? Skal jeg være bange for at bruge netbank??

kør CWShredder. Her er linket.  http://www.spywareinfo.com/~merijn/files/cwshredder.zip
Husk at lukke alt ned hvis du bruger cwshredder og kun have det browservindue åbent som cwshredder er i.

Rapporten fra CWShredder:

CWShredder v1.21.0 scan only report

Windows 2000 (5.00.2195 SP3)
Windows dir: C:\WINNT
Windows system dir: C:\WINNT\system32
Found Java ByteVerifier patch (Q816093) installed! (Hotfix)

Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://www.couldnotfind.com/search_page.html?&account_id=132702
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://www.couldnotfind.com/search_page.html?&account_id=132702
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant
Infected data: http://www.couldnotfind.com/search_page.html?&account_id=132702
Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (723 bytes, A)
Found Win.ini file: C:\WINNT\win.ini (1077 bytes, A)

- END OF REPORT -

Jeg har fyraften, så vi snakkes nok ved i morgen!

Har overladt dig til Fromsej, da jeg må stå af her

Men du er i de aller bedste hænder....

Misskat>>Arlet og jeg har lige talt sammen, vi er blevet enige om at jeg kører den tråd her.
Lav en ny logfil med Hijackthis, og smid den herind, så går jeg den igennem, men først imorgen eftermiddag, da jeg er på arbejde til Kl. 15:30

fromsej...Undskyld ventetiden :-)

Ny log:

Logfile of HijackThis v1.97.2
Scan saved at 10:12:34, on 07-10-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmer\ahead\InCD\InCD.exe
C:\Programmer\Ontrack\ZipMagic\zm32NT.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\sistray.EXE
C:\WINNT\System32\khooker.exe
C:\PROGRA~1\RCrawler\RCrawler.exe
C:\WINNT\System32\ctfmon.exe
C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Adobe\InDesign 2.0\InDesign.exe
M:\Dokumenter\Words dokumenter\Katalog\Trine\Andet\Små programmer\Spyware\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.scanding.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem215.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Konni Symbol Autostart] "C:\Programmer\RagTime Solo\Konni\KonniSymbol.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37847.9669212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CCS\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{05B579AF-8C97-416B-A125-84F92FF3EC09}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{167BF8D6-CFB1-4F13-8DD9-41C9F21620DA}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{75E74A8A-B095-4CED-9BCE-43C902B1F95B}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D5E080-4529-40D9-B25A-4C85D2FBE806}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS1\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = WGR7
O17 - HKLM\System\CS2\Services\Tcpip\..\{0066136B-3DB2-45D4-BD1D-4F7CE3425CFC}: NameServer = 194.239.134.83,193.162.153.164

Følgende skal fixes med Hijackthis:
Scan, sæt flueben ved alle linier listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikker tilstand, og slet de filer listet nederst.

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem215.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB

-------------------------------------------
I fejlsikker tilstand, klik på start=>Søg skriv navnet ind,hvis du finder filerne, slet dem.
nem214.dll
ddm_d.exe

For at få maskinen beskyttet, skal du gå ind her: http://www.spywarefri.dk/vaerktoj.htm
Hent Spywareblaster, Spywareguard, IE-Spyad og evt. empty Temp folders, installer og kør programmerne, opdater dem online tit.
du finder danske brugervejledninger samme sted, læs især om IE-Spyad for at få mest muligt ud af den.

Jeg slettede to exe filer mere fra system32 mappen, dette resulterede i, at PUP forsvandt fra joblisten :-) Men dette havde jeg ikke fundet ud af, hvis i ikke havde hjulpet.

Tak for hjælpen begge to :-)

Takker for point *S*

Så lidt. Lidt skulle du da have. Du har da også ydet en del. Det er såmen mig der takker :-)

Tak for point.*S*
Fandt du de to filer jeg sagde du skulle slette?

Det kan jeg først gøre på arbejdet, Fromsej. Jeg er hjemme nu. Jeg fixer det i morgen. Og tak for hjælpen, det er meget værdsat!

Velbekomme.*S*
Hvis du er interesseret kan du sende en mail på from09sej@webspeed.dk så kan du få mit mobilnummer, hvis du render ind i et problem.
Jeg kan nemlig ikke være på nettet om dagen.

Godt, det vil jeg huske. Det lyder godt. Det er ikke så tit jeg løber ind i problemer, men når jeg gør, så er det oftest nogle snørklede nogle.

Jeg har fået et råd om, at jeg ikke skal bruge Internet Explorer, men Mozilla, Opera osv. i stedet for, da de har bedre sikkerhed mht. uønskede popups mv. Så det har jeg sat på prøve på arbejdet.