Irriterende popup

evt pop fjerner.. ?

kan lige finde et link

*s* kunne ikke engang finde en men ved der ligger en / nogle på www.download.com

http://www.kolumbus.fi/eero.muhonen/FS/fs.htm

denne er godt, men har du kørt en tur med spybot og adaware evt

http://spywarefri.dk/vaerktoj.htm#adaware

http://spywarefri.dk/vaerktoj.htm#spybot

hent dem, installere dem, opdatere dem og kør dem. Fjern det de finder!

Ellers få Fromsej, aovergaaard evt til at rense din pc.

adaware kunne ikke fjerne den :-(

Der er 2 ting adaware ikke syntes at kunne fjerne. Jeg er ret sikker på at problemet ligger her

Vendor:VX2.BetterInternet
Category:Data Miner
Object Type:RegKey
Size:-
Location:CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}\
Last Activity:13-02-2004
Risk LevelLow
Comment:
Description:VX2 Variant, Malware. Causes Popups and may install unsolicited software

Den anden den ikke vil fjerne er her

Vendor:VX2.BetterInternet
Category:Data Miner
Object Type:RegValue
Size:-
Location:...\Windows\CurrentVersion\Shell Extensions\Approved\
Last Activity:13-02-2004
Risk LevelLow
Comment:SimilarSingles
Description:VX2 Variant, Malware. Causes Popups and may install unsolicited software

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.
Kan du ikke det, så hent Hijackthis her, og så nøjes med den.
http://www.sitecenter.dk/fromsej/nss-folder/mappe/Hijackthis/

Der kom en der har styr på det! :)
Har sletter ikke noget du ikke ønsker *G*

Stavefejl er gratis *G*

Logfile of HijackThis v1.97.7
Scan saved at 16:57:09, on 13-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
D:\Program Files\Outlook Express\msimn.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [version] D:\WINNT\system32\manage.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {A16E6189-A1DD-4696-9806-0324C145D794} (KeyActivex Control) - http://www.jraun.com/activex/src/KeyActivex.ocx
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Jeg har også en virus i lsass.exe som jeg ikke kan slippe af med :-( Jeg bruger agv 6.0 som antivirus program og det kan ikke fjerne den

Nu prøver jeg lige at lave et deepscan med Adaware. Den syntes at finde alt muligt spændende

Jeg kan godt løbe loggen igennem, hvis ikke fromsej ordner den...

Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :



O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {A16E6189-A1DD-4696-9806-0324C145D794} (KeyActivex Control) - http://www.jraun.com/activex/src/KeyActivex.ocx


D:\WINNT\system32\internat.exe

Derefter genstarter du og sender en ny log ind til check
Du må ikke slå systemgendannelse til før vi har sagt god for din log.

D:\WINNT\system32\internat.exe

Skal fjernes i fejlsikret tilstand

Det glemte jeg sorry

Jeg bruger windows 2000

Jeg er træt af microsoft. Hvordan kan det være at det åbenbart er totalt enkelt at kompromitere deres produkter. Nu begynder den at instalere et eller andet Golden Palace Casino. Jeg går selvfølgelig ind og prøver at fjerne det igen. Her er hvad HiJackThis sagde

Logfile of HijackThis v1.97.7
Scan saved at 18:04:48, on 13-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\WINNT\system32\keyword.exe
D:\Documents and Settings\Mik\Desktop\HijackThis.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\WINNT\system32\setup_123.exe
C:\casino\Golden Palace Casino\casino.exe
D:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [version] D:\WINNT\system32\manage.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinEssential] D:\WINNT\system32\keyword.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

C:\casino\Golden Palace Casino\casino.exe
Find og slet Casino mappen.

Den er slettet

Hvorfor optræder den så i den sidste logfil du kom med?

http://securityresponse.symantec.com/avcenter/venc/data/adware.jraun.html

Her er et removal til synderen

D:\WINNT\system32\setup_123.exe
C:\casino\Golden Palace Casino\casino.exe
Det er disse filer der laver ballade nu. Jeg ved ikke om Hijackthis kan tage dem, ellers kan det link i min forrige post

D:\WINNT\system32\keyword.exe

Skal også fjernes forresten

Jeg kan ikke fjerne keyword.exe, access denied. Jeg får stadig den popop :-( Den kommer lige så snart jeg åbner en browser.

Logfile of HijackThis v1.97.7
Scan saved at 09:19:33, on 14-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\WINNT\system32\keyword.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\Program Files\Outlook Express\msimn.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\Mik\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [version] D:\WINNT\system32\manage.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinEssential] D:\WINNT\system32\keyword.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Jeg har sat flag på dig, så skal jeg nok få has på bæstet senere på dagen.

Det ville være stort. Hvis du kan nakke den virus jeg åbenbart har i lsass.exe ville det være fedt

Flyt først filen Hijackthis til en mappe oprettet kun til den.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [version] D:\WINNT\system32\manage.exe
O4 - HKLM\..\Run: [WinEssential] D:\WINNT\system32\keyword.exe


---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

---------------------------------------
Slettes i fejlsikret.
D:\WINNT\system32\manage.exe
D:\WINNT\system32\keyword.exe

---------------------------------------
Kender du navnet på den virus?
Prøv en onlinescan hos Housecall eller Bitdefender, så vi ved hvad vi kæmper imod:
http://spywarefri.dk/onlinevark.htm

Genstart og kom med en ny logfil, så jeg kan se om alt er med.

Jeg fik ikke lige rettet helt til her:
Genstart i fejlsikret inden du kører Hijackthis, og bliv i fejlsikret mens du fixer og sletter.

Nu har jeg slettet manage.exe og keyword.exe i fejlsikret.

Nu har jeg forsøgt mig med housecall. Det fandt REG WINSHOW.A, JAVA BYTEVER.A, PE PARITE.A-1 som det ikke kunne gøre noget ved (31 filer). Ud over det har jeg en Win32/Parite i LSASS.exe. Det er iøvrigt den eneste som mit almindelige virusprogram finder, uden altså at kunne gøre noget ved det :-( Jeg anvender AVG 6.0

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Jeg er nødt til at have hele logfilen.*S*

Logfile of HijackThis v1.97.7
Scan saved at 13:07:24, on 15-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\Program Files\Microsoft ActiveSync\WCESMgr.exe
D:\WINNT\system32\hpoipm07.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Du er en gud hvis du kan fjerne den virus jeg har i lsass.exe (jeg giver dig gerne fuld kontrol over min maskine via vnc)

Start lige med at slette temporary internet files og cookies, det burde tage livet af REG WINSHOW.A, JAVA BYTEVER.A, PE PARITE.A-1, derefter går du ind og onlinescanner med Housecall eller Bitdefender her:
http://www.spywarefri.dk/onlinevark.htm
Når det så er gjort, går du ind her og onlinescanner Lsass.exe alene.
http://www.kaspersky.com/remoteviruschk.html
Genstart så og lad AVG køre en fuld scan af dine drev, skriv alle de virusnavne op der kommer frem under onlinescanningerne, så vi kender fjenden.

Jeg får stadig at vide at jeg har 33 filer med virus i når jeg scanner med housecall. AVG finder imidlertid kun en virus i Lsass.exe som hedder Win32/Parite. Den virus finder housecall ikke. Da jeg scannede filen med remoteviruschk fik jeg at vide at den var i orden.

Denne side popper også op i tide og utide
http://click.iwon.com/servlet/http

Hmm, det er lidt mystisk det her, har du nogen idé om hvad de to her er?
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)

Prøv lige at køre Shootthemessenger, og se om ikke Iwon så stopper med at drille:
http://grc.com/stm/shootthemessenger.htm

Nu er det vel ikke så heldigt at din harddisk er Fat32 formateret?

Jeg aner det ikke :-) Min HD er ntfs formateret

Jeg undersøger det, og vender tilbage.

Bitdefender har et removalTool til Win32/parite her:
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=137#
Prøv det, og vend tilbage.

Det havde en sjov effekt på min maskine. Når jeg kører removalværktøjet kommer den op og siger at maskinen lukker ned om et minut shutdown intiateded by NT/Atority

Prøv at klikke på Start>>Kør skriv shutdown -a klik OK, der skal være mellemrum mellem shutdown og -a.
Kør så det removal tool.

Det kan den ikke

cannot find file or one of its components

can not find file "shutdown" or one of it's components

Hent Dcombobulator og kør det:
http://home1.stofanet.dk/markus/tools/DCOMbob.exe
Hent og kør Stinger:
http://home1.stofanet.dk/markus/tools/stinger.exe
Hent og kør Avast multifjerner:
http://home1.stofanet.dk/markus/tools/avast-multifjerner.exe

Det er underligt. Fuldstændigt umotiveret åbner den denne side

http://www.hello.com/index.php?capid=271&caId=2182&id=a20bb9db0bfe5213e2899dbe346fdc32&v=dp&adrunid=

McAfee AVERT Stinger Version 2.0.0 built on Jan 29 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Jan 29 2004.

Ready to scan for 38 viruses, trojans and variants.



Scan initiated on Tue Feb 17 00:37:59 2004

D:\WINNT\TEMP\sqa5.tmp

    Found the W32/Pate.b.dll virus !!!

D:\WINNT\TEMP\sqa5.tmp could not be repaired.

d:\WINNT\Temp\aqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\aqa1.tmp has been deleted.

d:\WINNT\Temp\bqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\bqa1.tmp has been deleted.

d:\WINNT\Temp\bqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\bqa2.tmp has been deleted.

d:\WINNT\Temp\bqa3.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\bqa3.tmp has been deleted.

d:\WINNT\Temp\bqa4.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\bqa4.tmp has been deleted.

d:\WINNT\Temp\eqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\eqa1.tmp has been deleted.

d:\WINNT\Temp\fqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\fqa1.tmp has been deleted.

d:\WINNT\Temp\hqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\hqa1.tmp has been deleted.

d:\WINNT\Temp\jqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\jqa1.tmp has been deleted.

d:\WINNT\Temp\kqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\kqa1.tmp has been deleted.

d:\WINNT\Temp\lqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\lqa1.tmp has been deleted.

d:\WINNT\Temp\lra1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\lra1.tmp has been deleted.

d:\WINNT\Temp\mqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\mqa1.tmp has been deleted.

d:\WINNT\Temp\mqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\mqa2.tmp has been deleted.

d:\WINNT\Temp\mra1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\mra1.tmp has been deleted.

d:\WINNT\Temp\nqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\nqa1.tmp has been deleted.

d:\WINNT\Temp\oqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\oqa1.tmp has been deleted.

d:\WINNT\Temp\oqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\oqa2.tmp has been deleted.

d:\WINNT\Temp\oqa3.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\oqa3.tmp has been deleted.

d:\WINNT\Temp\pqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\pqa1.tmp has been deleted.

d:\WINNT\Temp\pqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\pqa2.tmp has been deleted.

d:\WINNT\Temp\qna1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\qna1.tmp has been deleted.

d:\WINNT\Temp\sqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sqa1.tmp has been deleted.

d:\WINNT\Temp\sqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sqa2.tmp has been deleted.

d:\WINNT\Temp\sqa3.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sqa3.tmp has been deleted.

d:\WINNT\Temp\sqa4.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sqa4.tmp has been deleted.

d:\WINNT\Temp\sqa5.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sqa5.tmp could not be repaired.

d:\WINNT\Temp\sra1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\sra1.tmp has been deleted.

d:\WINNT\Temp\tqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\tqa1.tmp has been deleted.

d:\WINNT\Temp\yqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\yqa1.tmp has been deleted.

d:\WINNT\Temp\yqa2.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\yqa2.tmp has been deleted.

d:\WINNT\Temp\zqa1.tmp

    Found the W32/Pate.b.dll virus !!!

d:\WINNT\Temp\zqa1.tmp has been deleted.

  Number of clean files: 137388

  Number of infected files: 33

  Number of files deleted: 31

Genstart i fejlsikret, find d:\WINNT\Temp i Stifinder, slet alt i den undtaget Index.dat.
Husk Vis alle filer osv. skal være slået til stadigvæk, derefter stadig i fejlsikret, scan med stinger og med Avast, vi skal nok få has på det.

Den arbejder som en gal. Det så umiddelbart ud til at problemet med lsass.exe blev løst. Der skete det at jeg kørte stinger også gik maskinen ned og startede op igen, efter jeg havde fået at vide at lsass.exe var blevet renset. Så bliver det bare spændende om det passer :-)

Ja det gør, jeg krydser fingre for det. :o)

Der var iøvrigt ikke noget under temp som hed index.dat. Der var imidlertid en fil som hed zma1.tmp som ikke umiddelbart kunne slettes. Der var åbenbart også virus i den for Stinger slettede den da jeg kørte det igen. Jeg vender tilbage lige så snart at Avast er færdig med at scanne ;-)

Okay du er min Helt :-) Det ser ud til at lsass.exe er clean. Denne side popper stadig op i tide og utide. Læg lige et svar


http://www.hello.com/index.php?capid=271&caId=2182&id=a20bb9db0bfe5213e2899dbe346fdc32&v=dp&adrunid=

____________________________

avast! Virus Cleaner Tool - version 1.0.167 Unicode

Creating log file: D:\Documents and Settings\Mik\Desktop\New Folder\avast-multifjerner.log

17-02-2004, 10:15:04
Memory scanning started...
No virus body found in memory.
Memory scanning finished (11,0s).
----------
Files scanning started...
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\08e839ab07ab346b982b36cbc37d966f_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\1d3ad8be672f7b62b39f0cea49735429_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\24ec0c9a80de0928e30e2823d7ce8ab3_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\511a0f3f9e960fa97de3d0b74adfc574_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\513768f02457a52a196c87fee3588827_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\5dadcd4aa8294d4d590efacd4f512522_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\675cb1214a0e62f02e97023a0641d029_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\97fd58679d88b882d06e7c3264fa8853_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\a859645a026715eeec8b55b61acead71_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\acecfbbf3bd1863829e4c3f0430748ab_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\d593c578b710fb8226431309ac03f74d_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\d8d312288be194a9394efcac01d4e3db_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\ec4f165ac8597a28b9977fb619b12c6c_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\fa46a0592592dc6448ac2fab9e8ece41_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\fb3915f2c70cc30e70f11599f5f43c75_621abdcf-a707-45d1-892c-9040b158e71d... file could not be scanned!
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp... file could not be scanned!
C:\WINDOWS\$NtUninstallQ311889$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ311967$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ313450$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ314147$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll... file could not be scanned!
C:\WINDOWS\$NtUninstallQ314862$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.inf... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\upnp.dll... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf... file could not be scanned!
C:\WINDOWS\$NtUninstallQ315403$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ317277$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ318138$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00003... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00004... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00005... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00006... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00007... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00008... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00009... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00010... file could not be scanned!
C:\WINDOWS\$NtUninstallQ323172$\reg00011... file could not be scanned!
C:\WINDOWS\$NtUninstallQ324096$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ324380$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ326830$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ329048$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ329115$\reg00002... file could not be scanned!
C:\WINDOWS\$NtUninstallQ329115$\reg00003... file could not be scanned!
C:\WINDOWS\$NtUninstallQ329834$\reg00002... file could not be scanned!
D:\WINNT\system32\msg118.dll... file could not be scanned!
D:\WINNT\system32\msguard.dll... file could not be scanned!
No virus body found.
Files scanning finished  (214539 files, 0 infected, 2506,4s).
Drives scanned: C: D:
----------

McAfee AVERT Stinger Version 2.0.0 built on Jan 29 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Jan 29 2004.

Ready to scan for 38 viruses, trojans and variants.



Scan initiated on Tue Feb 17 10:58:15 2004

  Number of clean files: 569256

Vi skal lige se om ikke vi kan få det sidste med, så kom lige med en ny logfil fra Hijackthis, den skal sq være der.

Skal jeg kører den i fejlsikret?

Logfile of HijackThis v1.97.7
Scan saved at 12:53:14, on 17-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\Program Files\Microsoft ActiveSync\WCESMgr.exe
D:\Program Files\Outlook Express\msimn.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
d:\j2sdk1.4.1_05\bin\java.exe
D:\Documents and Settings\Mik\Desktop\New Folder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Nej, i normal tilstand.
Vi skal også lige have samlet op, så jeg ikke behøver at læse det hele igennem.
Er Dcom lukket?
Er Tjenesten Messenger disablet?

Jeg tror synderen er her:
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe

Jeg har lige siddet og læst deres "Terms of use", de forbeholder sig retten til at lade andre firmaer reklamere via deres program, så mon ikke du skulle overveje at fjerne det program?
http://www.onlinecall.com/terms.htm

Jeg er ikke helt sikker. Er det DCOMbob du mener. Jeg har enablet det og genstartet. Messenger kører.

Det er ikke noget jeg har instaleret.

Det bibliotek findes slet ikke ?????? D:\Program Files\OnlineCall\OnlineCall.exe

Jeg er også kommet til at instalere noget Nokia software engang som jeg ikke kan slippe af med. Det var i forbindelse med at jeg havde købt en N'GAGE, STOR FEJL. Deres software spøger stadig på min maskine selv om jeg har prøvet at fjerne det

Den bliver ved med at åbne

http://click.iwon.com/servlet/http

De idioter som laver det lort skulle have bank med en jernstang

Godt, så rydder vi Nokia og Doorbell væk, jeg skal lige være færdig med de hjemlige opgaver, så tager jeg dig som det første, nu er vi så tæt på målet at vi ikke giver op. ;o)

Hent og installer det her:
http://danborg.org/spyware/IESpyad/ie-spyad.exe
Kør .exe filen, find så mappen IE-Spyad, klik på ie-ads.reg og sig ja til at tilføje det i din regdatabase, derefter åbner du mappen Adult, klikker på adult.reg og siger ja, så er Iwon færdig med at irritere dig.
Ikke en jernstang, den kinesiske skjorte ville være passende her.*S*

Så er det gjort. Det er svært at forstå at der er folk som syntes det er fedt at ødelægge tingene for andre :-(

Så er det jo en god ting at der er folk som dig der kan hjælpe folk som mig :-)

Når Nokia og doorbell er væk så skulle vi vist være i mål

Med mindre vi lige skal kigge på om de services der kører på min maskine. Om de allesammen er nødvendige. Bare en tanke :-)

Jeg opretter et andet spørgsmål hvor jeg finder ud af den side af sagen. Det kunne jo være at andre også kunne få glæde af det :-)

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, genstart i fejlsikret(Tryk <F8> under opstart) og slet filerne listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [ServiceLayer] D:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] D:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [SDS Doorbell] D:\Program Files\OnlineCall\OnlineCall.exe
O9 - Extra button: Create Mobile Favorite (HKLM)
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
---------------------------------------
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
---------------------------------------
Slettes i fejlsikret.
D:\Program Files\Common Files\Nokia <<Mappen.
D:\Program Files\OnlineCall <<Mappen.
---------------------------------------
Genstart og kom med en ny logfil, så jeg kan se om alt er med.

Det er så gjort. D:\Program Files\OnlineCall var der ikke noget som hed?


Logfile of HijackThis v1.97.7
Scan saved at 17:58:49, on 17-02-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\Ati2evxx.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
D:\mysql\bin\mysqld-nt.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
D:\PROGRA~1\HEWLET~1\HPPSC7~1\bin\hpoevm07.exe
D:\WINNT\system32\hpoipm07.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Microsoft ActiveSync\WCESMgr.exe
D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\HPOSTS07.exe
D:\Documents and Settings\Mik\Desktop\New Folder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] D:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MMTray] D:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = D:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: HPAiODevice.lnk = D:\Program Files\Hewlett-Packard\hp psc 700 series\bin\hpodev07.exe
O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37860.9772569444
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.eb.dk/codekstra/cabs/cssweb.cab
O16 - DPF: {CF392BE0-B84F-46E9-BDA9-845119819119} (IPAQSelfHelp Class) - http://instantsupport.europe.hp.com/awebui/jsp/answerweb/applets/ISPEIPAQTool.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D3426292-3750-4D80-9D0F-2816F61A6D15} (SpeedTest Control) - http://81.19.245.211/speedtest/SpeedTest_2.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B700404D-C9EF-42CC-A011-FD82D9FA42CC}: NameServer = 193.162.153.164,194.239.134.83

Nu er din log ren i hvert fald, for at holde den ren, har vi sammensat en pakkeløsning.
http://www.eksperten.dk/artikler/144
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
IE-Spyad har du vel allerede, men tag de andre også, det holder meget skidt ude, de skal bare opdateres med jævne mellemrum.
Er dit problem løst nu, så vi kan danse sejrsdansen?
Mvh:
Fromsej/Team Spywarefri.

Jepper det vil jeg mener. 1000 tak for hjælpen :-)

Det var dejligt, det var godt nok en sej kamp. ;o)

Ja det må man sige :-) Jeg tør næsten ikke sige det men spybot finder 2 ting. Jeg beder den fjerne dem, men når jeg så kører den igen er de der igen.

Look2Me: Class ID (Registreringsdatabasenøgle, nothing done)
  HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

VX2/h.ABetterInternet: Global settings (Registreringsdatabaseværdi, nothing done)
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}

Hmm, nu er det blevet en principsag det her.
Prøv med ad-aware om den vil fjerne dem.
http://majorgeeks.com/downloadget.php?id=506&file=3&evp=8dbaff7daca8f4b55bf695220993fc0f
Hent det, opdater det online og kør en fuld scan af det.
Der er en udmærket dansk vejledning her:
http://www.spywarefri.dk/adaware.manual.htm
Genstart bagefter og prøv med Spybot igen, er de der så stadigvæk bliver det manuelt i Regedit.

Adaware var det program jeg oprindeligt brugte og stadig bruger, men det kan ikke fjerne de to problemer. Faktisk fandt det et hav af nye problemer da jeg afviklede det. OOOOOoooooo(er det mon overhovedet muligt at sikre sig?)

Vil jeg få noget ud af at lukke portene på min router, altså lige på nær dem jeg rent faktisk bruger (80,25,110) Jeg bruger også messenger men jeg ved ikke på hvilken port det kører

Om jeg så personligt skal møde op og banke alt snavset ud med en hammer, bliver din PC ren, nu er jeg blevet sur. ;o)
Prøv den her, jeg havde den inden lige før jeg væltede min PC i går, og var egentlig imponeret.
http://www.emsisoft.com/en/software/free/

Jeg kan give dig adgang via VNC hvis du har lyst

Jeg kender ikke VNC, men jeg har før med held brugt Remote Admin.
Hvornår har du tid i morgen?
Send lige en mail til from09sej(at)webspeed.dk , erstat (at) med @

Det går rigtigt godt. Jeg prøvede at sende klienten til dig, men den blev afvist af TDC's mailserver, så jeg pakkede den lige ned i rar format.

Du kan også bare hente det her http://tucows.cybercity.dk/preview/196075.html du skal bare bruge vncviever

Det fede er at jeg kan se hvad du laver og du kan se hvad jeg laver

min forbindelse er en 256/2048

Okay, jeg kan næsten forstå at du ikke er her mere i aften. Jeg har tid hele dagen i morgen, bare send en mail eller skriv herinde. Jeg lukker VNC serveren ned igen, men du er meget velkommen til at koble på den i morgen :-) Det er som sagt rimmeligt smart.