fjernelse af virus!?

Tror lige vi skal kigge den efter

For at løse problemet skal du hente 2 programmer.

Først spybot : http://www.spywarefri.dk/vaerktoj.htm#spybot
direkte link : http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Installer og kør Spybot, opdater online, scan, alle filer den har fundet, der er røde skal markeres, tryk så på afhjælp valgte problemer, derefter genstarter du

Derefter hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis
direkte link :         http://www.merijn.org/files/HijackThis.exe
den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.


Du må ikke fixe noget selv. Når vi har tjekket loggen igennem fortæller vi dig hvad du skal slette..

Manual for installering af hijackthis:
http://www.spywarefri.dk/hijackthis.man.htm

jamen er det ikke til hvis man har været inde på en hjemmeside og fx ens startside er blevet ændret? virker det også til rigtige virusser?

.. og kan jeg uden fare for både de computer jeg har på min lokale netværk og profiler i min express sætte internet til igen?

Tag denne først

start op i fejlsikret og online scan med panda http://www.pandasoftware.com/activescan/

hvis den har fundet noget, så tryk på see report og kopier det herind...

hvordan starter man op i fejlsikret med XP?

f8 ved opstart

Selvfølgelig vil vi hjælpe. Og jo du har ret, det er mest når man er hijacked at man bruger det prg. Hijackthis. Det kan dog også finde virus, men jeg syntes du skal gøre et par andre ting.

Prøv at installere en trojanscanner som TrojanHunter. Det er nok et af de bedste prg. som findes. Du kan på denne adr. få en 30 dages trial version: http://www.misec.net/trojanhunter/ Installer programmet, Der lægger sig et trojanhunter ikon i tray, højreklik på dette og vælg settings. Sæt en vinge i Automatisk remove trojans. Kør derefter en scanning med TrojanHunter. Så skulle den meget gerne fjerne dine trojanske heste fra din computer

Og så kan du lige tage en onlinescanning for virus her: http://www.pandasoftware.com/activescan/

kan jeg få en helt bestemt vejledning? Nu har i 2 måder der kan gøres.. jeg er sådan set ligeglad hvad jeg ska, bar det virker :]

fejlsikret tilstand - med netværk?

For at fjerne trojaner bruger man trojanscanner, det er det mest rigtig at gøre, så det syntes jeg faktisk at du skal gøre i første omgang.

Mvh. Aovergaard/Team Spywarefri

denne virus kan ikke bruge min homebank vel?

men jeg starter med en pandascan ikk?

Alle trojanere kan med en keylogger faktisk se hvad man taster i netbank. Jeg håber ikke for dig at der er sådan en med. Men kør lige den TrojanHunter først, og derefter Pandascan.

okay er ved at hente...

men jeg har ikke brugt min homebank efter den sagde der var virus, vil den så stadig kunne?

Nej du skal bruge banken for at han evt. kan se hvad du taster, men nu skal vi nok få dig renset helt, så du rolig kan bruge din bank igen bagefter.

efter jeg har genstartet for at komme i fejlsikret tilstand har norton slet ikke sagt noget... hvordan kan det være? er den blevet disablet af virussen?

okay det er jeg glad for at høre :) hvordan kan den ha kommet på min computer? er det til at sige?

jeg er i gang med trojanhunter scan:

dette har den skrevet indtil nu
Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory

og den er ved at søge i filer nu

Sådan en hacker, ligger en bagdør ind på computeren, og det er så den vej han kommer ind. Du skal have installeret noget sikkerhed bagefter, men det venter jeg med at oplyse dig om tilsidst, når du er helt Clean

hvad med de andre computere på mit hjemmenetværk, er de os blevet smittet nu? eller kan det "heldigvis" kun være min egen computer?

Det ville jo være dejligt hvis den ikke finder noget. For så behøver du ikke være så bange. Du skal slette alle dem som ligger i Karantæne. De ligger kapslet inde der, og kan ikke gå løs på din computer, men slet dem bare allesammen, og så skal der onlinescannes for virus.

Vi tjekker da bare alle dine computere.

Hvis der skal tjekkes flere logfiler, så melder jeg mig lige under fanerne.
vi skal bare passe morderligt på ikke at få blandet to eller flere PCér sammen, så er det bedre at snuppe dem pr. mail.

den er ikke færdig med at scanne endnu, men den har skrevet dette:

Warning: Unable to unpack UPX-packed file C:\Documents and Settings\Lindgren\Lokale indstillinger\Temporary Internet Files\Content.IE5\G56VSL2J\hotbar[1].exe

(Lindgren er en bruger som resten af min familie bruger på min computer sådan de ikke laver så meget rod på min bruger)

Men hotbar er snavs, så du skal køre en hijackthis bagefter så vi kan få den nakket.

tager det lang tid at få den ren?

den er færdig nu:

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Warning: Unable to unpack UPX-packed file C:\Documents and Settings\Lindgren\Lokale indstillinger\Temporary Internet Files\Content.IE5\G56VSL2J\hotbar[1].exe
Warning: Executable file with double extensions found: D:\Programmer\Server\Webserver\php-4.3.2-Win32.zip/jp1d7.php.exe
No trojan files found

det er vel godt nyt?

så køre jeg en pandascan?

ja det er godt nyt helt sikkert. Du får lige en info fra min kollega om et øjeblik ang temp filer. Jeg ved han er ved at skrive det lige nu, så derfor skriver jeg det ikke

Du skal lige slette temporary internet files inden vi fortsætter.
Funktioner=>Internetindstillinger=>Slet filer, husk flueben i slet alt offline.
Fromsej/Team Spywarefri.

okay altså fromsej?

det er sgu fedt der er nogen som jer der gider hjælpe folk som mig med at komme af med utøj for lidt svært at vide hvad man skal gøre eller ikke gøre!

sku jeg scanne for virus med panda?

Ja det skal du gøre nu.

okay det er gjort nu... startede jeg egentlig os med inden jeg oprettede dette spm, men nu er det da gjort igen :)

så er panda i gang... skriver når den er færdig!

Fint, med navne hvis den finder noget.
Hvis vi skal tjekke flere maskiner, så gør vi en færdig af gangen.

no virus have been found
files 89603 messages 23

hvad havde norton så fundet den brokkede sig sådan over?

Det Norton fandt var den Hotbar installer.

Godt, så en tur med Spybot og Hijackthis.
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

jeg har begge ting installeret i forvejen, så det prøver jeg lige

når jeg genstarter skal jeg så starte i fejlsikret igen?

da jeg trykkede afhjælp problemmer og den var færdig med det skrev den, nogle problemmer kunne ikke afhjælpes da de er aktive..

ska jeg så bare sige den skal søge når den starter op igen?

ja, det skal du

og du skal ikke genstarte i fejlsikret efter spybot

Jeg ville nu køre den spybot fra fejlsikret tilstand. Så kan den afhjælpe alle problemer, for så er der ikke noget som er aktivt.

Genstart derefter alm. og scan med hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 16:32:13, on 03-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Server\Apache\Apache\Apache.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Server\Apache\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\ICQ\NDetect.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\QuickTime\qttask.exe
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\bundle.exe
C:\Programmer\ICQPlus\VPlus.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Anders Lindgren\Skrivebord\HijackThis.exe
C:\WINDOWS\System32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webcal.dk/site
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.myserver.lir.dk/mamster.dk"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)
O2 - BHO: (no name) - {000E7270-CC7A-0786-8E7A-DA09B51938A6} - C:\WINDOWS\System32\n3tpa1.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmer\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter\THGuard.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programmer\ICQPlus\VPlus.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37647.4072685185
O16 - DPF: {A5B4176A-5347-4CEC-AB75-26947BB34183} (InstaladorBetyByte Control) - http://www.redzone.dk/uploads/cab/instaladorbetybyteuk.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{74F3361E-6DD1-4178-9440-43FF3962EB97}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1

skal ejg slette den hotbar[1].exe fil som blev fundet tidligere?

Ja, hvis den ikke forsvandt da du slettede temporary.

hvad er det for nogle url'er som loggen indeholder? for nogle af dem er godt nok lang tid siden jeg har brugt, og andre kender jeg ikke...?

Tålmodighed er en dyd, jeg tjekker din log nu, det tager lidt tid.

okay, jeg er bare taknemlig for du vil gøre det :D

Deaktiver systemgendannelse:
http://www.spywarefri.dk/virusscannere.htm#alle

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000E7270-CC7A-0786-8E7A-DA09B51938A6} - C:\WINDOWS\System32\n3tpa1.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\bundle.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB

---------------------------------------
Bruger du Netscape? ellers fixes
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.myserver.lir.dk/mamster.dk"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)

---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------
Slettes i fejlsikret.
C:\WINDOWS\System32\n3tpa1.dll
C:\DOCUME~1\ANDERS~1\LOKALE~1\Temp\bundle.exe - Slet alt i mappen Temp.
BackWeb-8876480.exe => Brug Start-Søg.
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.

Du skal se at få installeret SP1 til XP, samt få opdateret hos microsoft.
http://www.it-service.sdu.dk/vis.php?side=84 SP1 fuldversion.

C:\WINDOWS\UpdReg.EXE
Skal også slettes.

ja jeg bruger netscape så skal ejg ikke slette de ting?

når jeg har sat flueben ved de skrevne ting trykker jeg fix? så genstarter jeg i fejlsikret og sletter filerne?

der kom en hulens masse backup-filer på skrivebordet, skal jeg også slette dem igen?

hva er det der SP1 til XP?

1.Når du bruger Netscape skal du bare lade dem være.
2.Ja, helt rigtigt.
3.Servicepack 1.

Ja dem sletter du bare igen. Sp1 er servicepacks og de er meget vigtige. Gå i windowsupdate, og tage alle de opdateringer som ligger

Backupfilerne lader du lige være til vi er færdige.

denne fil kan jeg ikke finde:
C:\WINDOWS\System32\n3tpa1.dll (heller ikke hvis jeg søger efter den)

det her forstår jeg ikke:
Slet alt i mappen Temp.
BackWeb-8876480.exe => Brug Start-Søg.

har slette bundle.exe i temp-mappen

eller har jeg slettet resten af filerne

SP1, 132mb?? er det noget der er nødvendig for at for systemmet til at virke igen, eller kan jeg vente til vi er færdige og jeg engang får noget hurtigere internet? vil komme til at ta vildt lang tid

Mappen Temp skal du bare slette indholdet af.
BackWeb-8876480.exe => Brug Start-Søg. Hermed mener jeg du skal søge efter den.
Hvis du ikke kan finde n3tpa1.dll, er den væk.

Hvis SP1 ikke bliver installeret, bliver det ved med at vælte ind med snavs, så det er vigtigt

når jeg sletter alt indhold i temp siger den der er systemfiler, skal de også slettes?

Sidder du på en modemforbindelse, så kan jeg godt se problemet.
Kan du ikke få en til at hente den til dig, og lægge den på en skive?

den kan ikke finde BackWeb-8876480.exe, heller ikke hvis jeg bare søger på en filnavn indeholdende backweb...

Der skal sq ikke ligge systemfiler i Temp, hvilke filer er det?

nej, men meget langsom kabel.. der står det vil tage 6+timer at hente den, men kan gøre det en af de kommende nætter!

desktop.ini

Klik på Start=>Søg kopier linien her ind i skrivefeltet og klik OK.
BackWeb-8876480.exe/a
Hvis den så ikke dukker op er den der ikke.

er skal vel også slette temp-mappen for de andre brugere på computeren? det kan ligesåvel være en af dem som har fået snavs frem

Desktop.ini kan du bare lade være, bare resten er slettet

den kan stadig ikk finde den.... så den er vel væk!

Tøm alle Temp mapper, der er ingenting i dem der skal bruges.

Ja, den er væk, kom med en ny logfil fra Hijackthis nu.*S*

der var også en bundle.exe i lindgren-brugerens temp-mappe... men hele temp-mappen ink. destop.ini røg selvom jeg sagde nej til at slette den

skal jeg genstarte først?

Ja det skal du lige tage at gøre.

Godt så er Temp væk.
Ja, genstart først.

Logfile of HijackThis v1.97.7
Scan saved at 17:30:04, on 03-01-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Server\Apache\Apache\Apache.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Server\Apache\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmer\ICQ\NDetect.exe
C:\Programmer\Logitech\iTouch\iTouch.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ICQPlus\VPlus.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Documents and Settings\Anders Lindgren\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webcal.dk/site
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.myserver.lir.dk/mamster.dk"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgrammer%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Anders Lindgren\Application Data\Mozilla\Profiles\default\xwcn8iie.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programmer\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programmer\ICQ\NDetect.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter\THGuard.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programmer\ICQPlus\VPlus.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://messenger.jubii.dk/messenger/client/ActiveXMsgrCore.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37647.4072685185
O16 - DPF: {A5B4176A-5347-4CEC-AB75-26947BB34183} (InstaladorBetyByte Control) - http://www.redzone.dk/uploads/cab/instaladorbetybyteuk.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{74F3361E-6DD1-4178-9440-43FF3962EB97}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1824FD3A-BDB1-4E68-8461-B7A375926C30}: NameServer = 192.168.0.1

Det pyntede.*S*
For at holde skidtet ude af din PC, kan du hente flg. programmer:
Spywareblaster, Spywareguard, IE-Spyad og Empty Temp Folders, dem finder du, sammen med danske vejledninger her:
http://www.spywarefri.dk/vaerktoj.htm
Læs især om IE-Spyad, så du får det fulde udbytte af dette lille geniale program.
Hent Dcombobulator, og få lukket et sikkerhedshul mere, den finder du her sammen med en dansk brugervejledning.
http://www.spywarefri.dk/tipsogtricks.htm#DCom

Mvh:
Fromsej/Team Spywarefri - Aovergaard/Team Spywarefri.

okay jeg siger rigtig rigtig mange tak :D kan points snart være betaling nok?

er min computer så 100% klar igen?

... hvordan skal points fordeles?

Jeg vil sige 90 til Aovergaard, 90 til mig, og 20 til Arlet.

Helt i orden med mig, hvis Fromsej ikke vil have flere, for så giver jeg gerne

det var s***** dejligt :D kan slet ikke takke jer nok! så må jeg til at ha kigget på de værktøjer på spywarefri.dk....

igen mange tak :) fortsat god dag... :]

Velbekomme, tak for point.*S*

Velbekommen

Også velbekommen og tak for point herfra ;) Godt vi i fællesskab kunne hjælpe dig.