- alle EXE filer er pillet ved osv osv mange POINT NU

Følg vejledningen for Spybot og Hijackthis her: http://www.arlet.dk/spybothjt.htm

Smid loggen herind, i dette spm, så vil vi kigge på den. Husk at indsætte *alle* linier fra loggen herinde.

Du kan evt. prøve at køre en online virus scanner på din PC - Her kan jeg klart anbefale http://housecall.trendmicro.dk

Hurtigt

===========

Logfile of HijackThis v1.97.7
Scan saved at 18:08:23, on 15-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programmer\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Smapp] smtray.exe
O4 - HKLM\..\Run: [ccApp] C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [updater] C:\Programmer\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [winupd.exe] C:\WINDOWS\System32\winupd.exe
O4 - Startup: Start Microsoft Outlook.lnk = C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/danmark/templateGallery/msotd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://129.142.194.24/wg_webeye.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://officeupdate.microsoft.com/TemplateGallery/downloads/outc.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

===========

Jeg har prøvet at få NAV til at rulle igen men nej...

Troede aldrig jeg skulle igennem dette - SHIT -

Yeps.. "snavs" lokaliseret ;-)
Kigger den igennem..

Hvis du ikke allerede har gjort det:
Deaktiver DCOM-tjenesten, via programmet DCOMbobulator: http://www.grc.com/dcom

HiJack er kørt og gemt fra en floppy.
Jeg har fjernet NETVÆRKS stikket for at det ikke skal blande sig med min server og andet her i hytten.
Lige nu ka' jeg så ikke køre http://housecall.trendmicro.dk

Mere følger...

OK.. så længe at det er en tom diskette, skal det nok gå..
Hver gang man fixer en linie, oprettes en backup fil.. denne fylder ikke så meget.

Jeg kan pt. ikke bruge standard XP's REGEDIT til at "pille"

Denne ser mistænkelig ud:
http://129.142.194.24/wg_webeye.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} -

Samt
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab

Jeg kigger loggen igennem.. skal nok fortælle dig hvad der skal fjernes :-)
Fjern ikke noget selv.

STANDBY

PS: http://housecall.trendmicro.dk => "Siden kan ikke vises"

sorry.. har en fæl vane altid at skrive .dk for tiden ;)
det skal altså være http://housecall.trendmicro.com :)

.

- Info: "fixes":
Når du får at vide at noget "fixes", skal du sætte et hak til venstre for linien, i HijackThis.
Når du har sat hakker ved alle linierne, som skal fixes, lukker du *alle* vinduer, undtagen HijackThis. Det skal være det eneste vindue åbent.
Så klikker du på Fix.


- Info: "fejlsikret tilstand":
Det gør du ved at trykke F8 ved opstarten, lige før Windows logoet kommer frem. Windows starter så op, med et begrænset antal drivere og programmer aktive.


- Start med at deaktive systemgendannelse:
Højreklik på "Denne Computer" på skrivebordet, vælg egenskaber og fanebladet "Systemgendannelse" og sæt flueben i "Deaktiver systemgendannelse". Klik ok og genstart.


- Fixes:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [updater] C:\Programmer\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [winupd.exe] C:\WINDOWS\System32\winupd.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://129.142.194.24/wg_webeye.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab


- Hvis det ikke er dig, der har lavet restriktionen, fix:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


- Åbn en tilfældig mappe, klik på Vis=>Mappeindstillinger=>Vis.
Fjern flueben i "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis alle filer".


- Slettes i fejlsikret tilstand:
C:\Programmer\Common files\updater (hele mappen "updater")


- Genstart og ny log.

http://housecall.trendmicro.com har foreløbig fundet 141 entries med
PE BEAGLE.N-O !!!

<thesurfer> Jeg ruller lige din "metode" nu...

Logfile of HijackThis v1.97.7
Scan saved at 19:16:47, on 15-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
A:\HijackThis.exe
C:\WINDOWS\System32\cidaemon.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programmer\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] smtray.exe
O4 - HKLM\..\Run: [POINTER] C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - Startup: Start Microsoft Outlook.lnk = C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

PS: Regedit - Windows brokker sig over den under HiJackFIX - men den gør det nu tilsyneladende alligevel...

PS(2): Windows Filbeskyttelse begynder at dukke op og vil ha' XP pladen - det får den så og det tygger den på lige nu...

Samme som [SFC /SCANNOW] kommandoen ville gøre...

- Kan du køre Norton AntiVirus nu?

Den sagde nemlig: "C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)"..

Det kan være at en virus havde slettet filen.. så skulle du geninstallere Norton AntiVirus.. eller måske SystemWorks..

- Får du stadig fejl?

Undervejs prøvede jeg at slette så meget som mulig af Norton - for at geninstalere - og ville så også gøre det i REGEDIT (det har jeg prøvet før...) men så ville REGEDIT jo ikke vågne op... Resten er historie...

....

Foreløbig vil REGEDIT, MSCONFIG, ... ikke vågne op som tidliger beskrevet.

Mere følger...

Hvis du ikke kan bruge SFC /SCANNOW, prøv at lave en repair af Windows: http://www.eksperten.dk/spm/451597#rid4220338

Joooo - jeg er begynd at overveje http://www.eksperten.dk/spm/451597#rid4220338 ...
Det virker som om at en hel del *.EXE filer er blevet 'syge'; ikke kun Windows (som SFC /SCANNOW jo ville/skal/kan/bør/må fixe) men også diverse NON MS programmer!!!

Jeg skal 'bare' lige have arkiveret mine E-mail's / Adresselister osv samt enkelte koder. Checke om jeg har installationen til de programmer jeg bruger i PRAKSIS. Og derefter rydde bixen - det kunne nok være meget sundt... Mine documenter osv ligger på en anden fysisk HD...
Men nok ikke lige noget 'man' gør i en 'frokostpause' - PUHA...

Mere følger...

Logfile of HijackThis v1.97.7
Scan saved at 20:39:09, on 15-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\cidaemon.exe
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programmer\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] smtray.exe
O4 - HKLM\..\Run: [POINTER] C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKCU\..\Run: [winupd.exe] C:\WINDOWS\System32\winupd.exe
O4 - Startup: Start Microsoft Outlook.lnk = C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

=============

StartupList report, 15-04-2004, 20:37:16
StartupList version: 1.52
Started from : A:\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\cidaemon.exe
A:\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Michael\Menuen Start\Programmer\Start]
Start Microsoft Outlook.lnk = C:\Programmer\Microsoft Office\Office10\OUTLOOK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Smapp = smtray.exe
POINTER = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
CoolSwitch = C:\WINDOWS\System32\taskswitch.exe
FastUser = C:\WINDOWS\System32\fast.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

winupd.exe = C:\WINDOWS\System32\winupd.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

CCHelper - C:\Programmer\Panicware\Pop-Up Stopper Pro\CCHelper.dll - {0CF0B8EE-6596-11D5-A98E-0003470BB48E}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704

[{ABCCB0F0-514E-4BA6-989D-C67E5DBC2946}]
CODEBASE = https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab

[e-Safekey®]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\e-Safekey.dll
CODEBASE = https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

[Danske e-Sec]
InProcServer32 = C:\WINDOWS\DOWNLO~1\DANSKE~1.OCX
CODEBASE = https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
UPnPMonitor: C:\WINDOWS\System32\upnpui.dll

--------------------------------------------------
End of report, 4.702 bytes
Report generated in 0,734 seconds

- Fixes:
O4 - HKCU\..\Run: [winupd.exe] C:\WINDOWS\System32\winupd.exe

- Slettes i fejlsikret tilstand:
C:\WINDOWS\System32\winupd.exe

- Genstart og ny log.

http://housecall.trendmicro.com har foreløbig fundet >100 entries med
PE BEAGLE.N-O - og disse bliver defineret som [NON CLEANABLE]

Der er lagt nogle "sjove" *.EXE filer ned i C:\K####\My Shared Folder - ikke af mig. Alle dateret 15-04-2004 kl 08:38 22Kb ...

Mere følger...

<thesurfer>: Jeg la' lige denne trendmicro rulle færdig...

OK..
Lav en søgning på "MSBB.EXE" bagefter.. se om den ligger i System eller System32 mappen.

Hvis det ikke virker, prøv F-Prot antivirus, via dos (følg instruktionerne): http://www.avirus.dk/avirus.htm

"MSBB.EXE" - Negativ (Jeg kan stadig ikke bruge "Søgeassistenten" / F3 i stifinder)
PS: En masse *.EXE filer i \System32 samt i \Windows er dateret 15-04-2004 11:01 samt kl 16:51 - tyder ikke godt !!!

http://vil.nai.com/vil/content/v_101095.htm
Prøv med stinger:
http://vil.nai.com/vil/stinger

Hmmm... Er du sikker på at http://www.avirus.dk/avirus.htm ka' bruges ? Den skal jo boote fra diskette og dermed DOS og jeg har jo HD'en som XP's NTFS format ???

<fromsej>: Det ser lovende ud - Jeg la' lige denne trendmicro rulle færdig; har fixet noget...

""sjove" *.EXE filer ned i C:\K####\My Shared Folder" - trendmicro har fundet sådanne nogle i alle mapper der hedder noget med *Shared* - spændende ???
De her nævnte er [NON CLEANABLE] - resten er [CleanOK]... Pyha en masse filer...

F-Prot vil ikke virke på NTFS, så vi håber at stinger gør tricket.

http://housecall.trendmicro.com fandt 882 "sjove" *.EXE filer i alle mapper der hedder noget med *Shared* - Alle dateret 15-04-2004 kl 08:38 22Kb ... DELETED

Nu er det http://vil.nai.com/vil/stinger 's tur...

Det ser ud til at være [Bagle.n] virus !!!

http://vil.nai.com/vil/stinger
Number of clean files: 110302
Number of infected files: 18
Number of files repaired: 112
Number of files deleted: 18

(Der er ro over bixen lige nu - testes yderligerer...)

Nu skulle der ikke være mere "tilbage".
REGEDIT, MSCONFIG, ... virker nu (tilsyneladende) igen.

http://vil.nai.com/vil/stinger efterlov en masse *.RB0 filer - èn for hver fixet *.EXE. Disse .RB0 filer har jeg også slettet...

Så er det bare hvilken program/fil/regentry som laver balladen (igen) ?

Prøv at komme med en ny hijackthis logfil.

Logfile of HijackThis v1.97.7
Scan saved at 20:27:15, on 16-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
A:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] smtray.exe
O4 - HKLM\..\Run: [POINTER] C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

===================

StartupList report, 16-04-2004, 20:28:04
StartupList version: 1.52
Started from : A:\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\smtray.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
A:\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Smapp = smtray.exe
POINTER = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
CoolSwitch = C:\WINDOWS\System32\taskswitch.exe
FastUser = C:\WINDOWS\System32\fast.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37633.1028703704

[{ABCCB0F0-514E-4BA6-989D-C67E5DBC2946}]
CODEBASE = https://download.danskebank.dk/download/keydownload/DB/KeyDownload.cab

[e-Safekey®]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\e-Safekey.dll
CODEBASE = https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

[Danske e-Sec]
InProcServer32 = C:\WINDOWS\DOWNLO~1\DANSKE~1.OCX
CODEBASE = https://netbank.danskebank.dk/netbank/activex/DanskeSikker.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
UPnPMonitor: C:\WINDOWS\System32\upnpui.dll

--------------------------------------------------

Yderligerer info:
Kontrolpanel: Netværk - viser "ingenting" - selvom det faktisk virker - efter et par minutter: "Kontroler at tjenesten Network Connections er aktiveret og kører".
MS Medieplayer: "Intern fejl"
Stifinder - Søg [F3]:giver tomt felt
InternetExplorer: ligesom der mangler noget Java stuff - visse Javabaserede knapper mangler.
MS Word: Vil gerne "repair" - men virker alligevel.

Hmmm...

Ja, det må du nok sige.
Der er ikke noget i din log der ikke må være der, så det må vel ende med en Repair.
Sørg for at have Servicepack 1 samt Hotfixes til rådighed inden du går på nettet efter Repair.
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.
Efter de er installeret, samt selvfølgelig firewall og antivirus, skal du opdatere online hos Microsoft.

Ja - jeg mente nok af der ikke var noget at hente i LOG filen og/eller 'msconfig' / start...

Lige nu forsøger jeg at få NAV/SystemWorks 2003 til at blive instaleret igen - opdateret.

Samt diverse Fixes / MS SP ifølge ovenstående links fra dig - jeg har brugt dem tidligere...

(Det bliver en lang aften/nat...)

NAV vil slet ikke rulle. Har pillet alt SYMANTECH, NORTON, NAV ud at regbasen og geninstal - samme problem.
Også IE er "underlig" - eks her ved eksperten baren øverst med [Forside Sektioner Konti...] vises ikke. Jeg har Geninstaleret IE, MS's SP pakker samt www.java.com stuff.
MS Medieafspiller siger [Intern fejl]. DivXplayer ka' dog godt.
Stifinder's [find filer] reagerer ikke.
osv osv osv...

Well - det var da en go' grund til at "rydde" bixen.
Jeg har nu fremgravet en ny (?) PC - overført (Export/Import) min E-mail (*.PST).
Instaleret en ny omgang NAV samt (kun nødvendige) programmer.
Alle Documenter/billeder etc. ligger på server så det er bare en omdefinitation af [Documenter] så er den hjemme.

http://vil.nai.com/vil/stinger fandt jo en del og (delvist) fixed det.
Samt
http://housecall.trendmicro.com også en vis grad nyttig.

Point uddelning ?

Springer over, hellere en pilsner hvis vi mødes en dag. ;o)

Så nu har jeg så to selvstændigt PC'er - een til seriøse arbejde og een til "tjant&fjas" / Download via (IkkeNævnesHerPåEksperten) / ...

<fromsej>: Forsmag her
http://www.medietimen.dk/images/faxe_daaseoel.jpg

Ser godt ud. ;o)