Computer med alvorlige virus- og spywareangreb

Logfile of HijackThis v1.97.7
Scan saved at 21:12:20, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\msgv32.exe
C:\WINDOWS\System32\msupdate32e.exe
C:\WINDOWS\System32\sndcfg16.exe
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Documents and Settings\Ejer\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inger-oester.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINDOWS\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programmer\Fælles filer\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [realplayer] C:\WINDOWS\System32\msgv32.exe
O4 - HKLM\..\Run: [MS Config v13] lrbz32.exe
O4 - HKLM\..\Run: [msupdate32] C:\WINDOWS\System32\msupdate32e.exe
O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Config v13] lrbz32.exe
O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen3310.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab

Jeg kigger på den med det samme

Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Første vigtige punkt er at slå systemgendannelsen fra. Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
Ellers genskabes alt hvad vi fjerner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Klik på Fix checkede.

O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [realplayer] C:\WINDOWS\System32\msgv32.exe
O4 - HKLM\..\Run: [MS Config v13] lrbz32.exe
O4 - HKLM\..\Run: [msupdate32] C:\WINDOWS\System32\msupdate32e.exe
O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Config v13] lrbz32.exe
O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE

Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:
C:\WINDOWS\System32\msgv32.exe
C:\WINDOWS\System32\msupdate32e.exe
C:\WINDOWS\System32\sndcfg16.exe

Derefter genstarter du og sender en ny log ind til check

jeg er i gang

Når vi er færdige skal du scanne maskinen online inden du slår systemgendannelsen til igen.
http://housecall.trendmicro.com/
Brug denne.
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
Og denne.

http://www.webroot.com/wb/products/spysweeper/sweeperb.php?rc=972
http://www.spywarefri.dk/spysweepermanual.htm
Der er kommet et nyt værktøj på banen
Kig på det :O)

msupdate, det lyder som det der opdaterer windows, hvorfor skal det fjernes?

(er ved at genstarte efter at have fjernet de anbefalede filer)

Den siger stadig

Fejl ved initialisering af SetTokI library (00000005)

Det er jo humlen ved viruser.
De ligner den ægte vare.
Prøv at finde forskellen på disse to:
scvhost.exe
svchost.exe
Man skal ikke lade sig narre

Kom med en ny log så jeg kan se om du har fået det hele med...

Logfile of HijackThis v1.97.7
Scan saved at 21:39:38, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\NORMAN\nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Ejer\Skrivebord\HIJACKTHIS\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inger-oester.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inger Østers Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINDOWS\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programmer\Fælles filer\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen3310.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab

O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Disse skal fixes, så er vi i mål.
Derefter går vi efter at finde på en løsning på din fejlmelding

Nå ja Genstart når du har fixet dem og kom med en ny log :O)

ok, arbejder på det, og du er en guttermand!

Ja jeg er for fed på den fede måde *LOL*

Logfile of HijackThis v1.97.7
Scan saved at 21:54:24, on 10-06-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Messenger\msmsgs.exe
C:\NORMAN\nvc\BIN\NPFSVICE.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Ejer\Skrivebord\HIJACKTHIS\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inger-oester.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inger Østers Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINDOWS\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [OmgStartup] C:\Programmer\Fælles filer\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SetecCertUtil] C:\Programmer\Setec\Web and Email Security\Certutil.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C07E5288-22FB-11D7-962E-0004AC77C761} (Dataloen.ctlVirtuelDesktop) - http://activex.dataloen.dk/controls/Dataloen3310.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.bgbank.dk/bgnetbank/activex/DanskeSikker.cab

Fandenme flot arbejde du!
Så er loggen ren.
Får du stadig den fejl melding?

Ja, når jeg kører Spybot, får jeg også denne melding:

CarpeDiem Vars    2 entries

Den kan ikke slettes, fordi den er "i brug"

:-(

Prøv at køre spybort i fejlsikret tilstand....

jep!

Du kan godt allerede nu lægge et svar!
:-)

Jaja men jeg ville nu godt lige se om ikke vi kunne få de to entries væk først.
Jeg kan oplyse dig om de filer vi fixede at det var både trojanske heste og worms...

Det hjalp ikke! Den kan stadig ikke fixe det, da den er "in memory"

Den var slem, hva! Hva gør vi nu?

Nedenunder står der:

RAS profile
HKEY_USERS\S-1-5-18\Software\Montorgueil


RAS profile
HKEY_USERS\.DEFAULT\Software\Montorgueil

øjeblik

Har du prøvet at være i registreringsdatabasen før?

ja, et par gange

Ok prøv at gå i start -> kør og skriv regedit.
Se om du kan finde de værdier som:
HKEY_USERS\S-1-5-18\Software\Montorgueil og HKEY_USERS\.DEFAULT\Software\Montorgueil
Slet dem, hvis du kan finde dem...

jeg kunne slette en værdi, men der er stadig 2 tilbage :

(Standard)  REG_SZ

(standard) Reg_SZ skal være der

Hvad har du slettet?

en af de værdier, som jeg jo ikke kan huske hvad hed, i det der montorgueil

Ok så der er ikke mere tilbage af Montorgueil?

jo, de to værdier som ikke lod sig slette

Damn
http://www.spywarefri.dk/vaerktoj.htm#adaware
http://www.spywarefri.dk/adaware.manual.htm
Prøv ad-aware og spysweeper. Se om de napper de to sataner
Jeg holder lige en pause. Konen skal jo også ses til....
Jeg kigger ind lidt senere...

:-) klart nok !

Sådan ser det ud: http://www.kaninbjerget.dk/temp.htm

AdAware finder ingenting

Hvis du fixer denne:
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
med hijack, forsvinder din fejlmelding, tror jeg

Hvad med spusweeper?
Har du hentet det og scannet med det?

det hjalp ikke med O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe

Et skud i tågen kunne være at prøve at starte op i fejlsikret tilstand og gå i regbasen og slette de to værdier...

ok, prøver lige med spy sweeper

Gå i start - kør - skriv: sfc /scannow
Enter
Din Windows Cd skal ligge i drevet mens du udfører denne kommando her.
Og der skal være det mellemrum mellem sfc og /

Det er der vil ske, er hvis du har mistet nogle vigtige systemfiler, eller de er blevet ødelagt, så vil de nu blive gendannet.

Jeg kommer lige med et par muligheder

spy sweeper har fundet en Alexa Toolbar!

er det ikke underligt?

Spyseeper er et godt nyt program der finder flere ting de andre programmer ikke finder.
Jeg har lige installeret det selv og der fandt det også alexa

Jeg tror du skal genindlæse driverne til bundkortet for at komme af med den fejl melding.
http://www.windowsstartup.com/wso/detail.php?id=2541

Det går godt med at stave til spysweeper i dag :O)

skidt pyt, jeg kan læse det!

jeg har ikke win xp cd rommen til den lånte pc, kan jeg bruge den til min egen?

Bare rolig, der er lovlig licens til dem begge!

Ja det er ens. Det er key´en der er forskellig.

Du jeg smutter til køjs nu.
Vi må fortsætte imorgen

Nat :O)

Go nat!

-og endnu engang TAK

Du kan sagtens køre SFC med en anden CD, bare det er samme XP og med samme niveau af servicepack på, altså enten med eller uden SP1.

Må jeg lige nævne at jeg har fået utrolig god hjælp flere gange fra www.spywarefri.dk, (og folkene bag) jeg linker nu til dem, og har doneret en skilling til dem, for hvad skulle vi gøre uden dem?

Fromsej er een af dem og min "mentor"
Og jo det er en flok skrapsakse der huserer på Spywarefri :O)

Hvordan går det?
Hvor langt er vi nået?

skal på arbejde nu, og i aften er der fest i børnehaven, s¨å det må lige hvile lidt. Har lige egnindlæst de der win-filer.  Bundkortet er næste, vintales ved i aften?

Super.
Hav en god dag :O)

hvor finder jeg drivere til bundkortet?

Jeg har en cd der står mainboard på, men det er til min egen computer. Jeg ved heller ikke hvilket bundkort der sidder i

Da jeg fik computeren var der et lille program i menuen med et icon som en lyskurve . Det fjernede jeg, kan det have noget at gøre med den fejlmelding?

Hent og installer Everest på maskinen, så kan du finde alle nødvendige oplysninger om hardwaren.
http://www.lavalys.com/index.php?page=product&view=1&subpage=5 - info om PC

http://www.ecsusa.com/downloads/drivers_k7s.html

Jeg har fundet ud af at det er en Elitegroup K7S5A, men hvilke af disse skal jeg bruge?

Du skal have fat i sounddriveren tror jeg, tjek lige med Everest hvilket lydkort der sidder i maskinen, det må være onboard.

jamen jeg skulle jo opdatere driveren til bundkortet, det er da ikke et lydkort?

Er lydkortet onboard?
Det tætteste jeg kan komme er at du skal bruge en SiS driver, dem er der flere af på linket, så tjek lige i enhedshåndtering at der ikke er nogle gule udråbstegn.

ok, nu virker computeren sådan set. Der er stadigvæk en spyware, og den der fejlmeddelelse, men Spy Sweeper godkender systemet.

Nogle nye bud på den fejlmeddelelse?

http://www.setec.fi/english/identification/eid/instant_details.html
http://www.e-commerce.telia.com/tec/id/PDF/Telia_Tjanster_bilaga_5.pdf
Det jeg kan få ud af den fejlmelding efter at have søgt på setcsp certificate loader
er at det er en eller anden slags kortlæser i forbindelse med teleforbindelse eller noget i den retning.
Ligger der et program i kontrolpanel -> tilføj/fjern programmer det kunne minde om det.
I så tilfælde skal det nok slettes og geninstalleres eller bare helt slettes.
Det kan godt være det ikke har noget at gøre med bundkortetet alligevel.
Det er bare den nærmeste tanke jeg fik da jeg så det var en sis fil.

Ja, det var en eller anden memory card-læser, det kan godt passe, men jeg har fjernet så meget jeg kan i tilføj/fjern programmer.

Kan jeg gøre mere for at slette det?

Gå i start søg -> søg efter filer og mapper....skriv SetCDfmt.exe
Se om du finder noget.
Ellers må du i registrigsdatabasen for at lede...

Jeg slutter for i dag. Vi tales ved....
stay cool ;O)

Hvis du skal ind at rode i regdatabasen, så hent Registrar lite, det er meget bedre end Regedit.
http://www.resplendence.com/reglite

Nå, andersenph, du skal lægge et svar, så jeg kan komme af med nogle af mine mange points!
:-)

Jamen det gør jeg så.
Jeg håber du slap af med det meste skrammel :O)

ja, det gjorde jeg, og er meget glad for hjælpen!

Jamen det var da godt.
Det var en lang og sej kamp, men den hvide ridder sejrede til sidst :O)

Takker for point, og hvis der er noget vi kan gøre for dig en anden gang, så kommer du bare.....
Have a nice day ;O)