Min startside skirfter, og alle sider med fejl!

http://www.spywarefri.dk/vaerktoj.htm#hijackthis

http://www.spywarefri.dk/vaerktoj.htm#spybot
Hent disse to programmer
Først spybot. Installer og opdater. Scan og afhjælp det den finder (markeret med rødt)
Derefter henter du hijackthis og scanner og gemmer loggen. Kopier den herind, så kigger vi på den. Du må ikke fixe noget selv. Det kan gå grueligt galt :O)

Da jeg havde spyware, eller hvad det er du nu har.. Der gendannede jeg min computer, til den dag før jeg fik det.. Og der forsvandt det helt

Start > Tilbehør > Systemværktøjer > Systemgendannelse

- Intet på din computer, som du f.eks bruger, det vil "ikke" blive slettet

Hvordan kopierer jeg loggen? (Sikkert et dumt spørgsmål!)

Marker hele teksten. Højreklik ->kopier

Højreklik i feltet hvor du skriver kommentarer her på eksperten og sæt ind

Send :O)

Der er ingen dumme spørgsmål herinde......

Jeg kunne ikke lige fatte at kopiere det, så jeg tog et screenshot.
http://www.mainboard.dk/upload/files/log.JPG

Du skal finde den gemte log og kopiere den herind.
Vi skal have hele loggen. Ellers kan vi ikke arbejde med den....

Problemet er at jeg ikke ved hvad den gør af loggen!

Jeg er dum! Havde overset den knap hvor der står "Save log" !




Logfile of HijackThis v1.98.0
Scan saved at 12:38:31, on 02-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Valve\Steam\Steam.exe
C:\Programmer\Spyware Doctor\spydoctor.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Programmer\Samurize\Client.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Diverse\Antivirus\hijackthis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\yz8w97f3zv2uj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\ACE Mega CoDecS Pack\SystemS\RealMedia\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\spydoctor.exe" /Q
O4 - Startup: Samurize.lnk = C:\Programmer\Samurize\Client.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: ~$SKE SEDDEL TIL SOMMERHUS TUR ANNOs 2004.doc
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmer\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmer\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/245ebd09140e71b53f05/netzip/RdxIE601.cab
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geograf.com/viewer/mgaxctrl.cab
O20 - AppInit_DLLs: wbsys.dll h38vcmkbz7debe.tlb

Læg Hijackthis over i en mappe for sig selv på C drevet for eksempel.
Scan og save log. Så ligger loggen i samme mappe som Hijack.
Åbn den med notepad. Kopier -> sæt ind.
Så skulle den være der :O)

Så kører vi.
Jeg kigger den lige igennem og vender tilbage om lidt...

Først opretter du en mappe kun til hijackthis og lægger programmet derover. Så har vi nemlig styr på backup filerne.
Kommer du til at slette noget forkert, kan vi altid komme tilbage og lave en restore. Derfor skal Hijack have sin egen mappe.

Andet vigtige punkt er at slå systemgendannelsen fra. For XP gælder følgende: Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i Deaktiver systemgendannelse. Klik ok og genstart.
For Windows ME gælder følgende:
Dobbeltklik på System i Kontrolpanel.
Klik på fanen Ydeevne, og klik derefter på Filsystem.
Klik på fanen Fejlfinding, og marker afkrydsningsfeltet Deaktiver Systemgendannelse.

Ellers genskabes alt hvad vi fjerner.

Hvis du har Windows 98 eller 2000, kan du ikke slå systemgendannelse fra, fordi det findes ikke i de versioner.

Derefter skal du åbne hijackthis.
Du skal vinge disse filer af, jeg har beskrevet nedenunder.
Når du har gjort det så lukker du alle andre vinduer ned.
Click på Fix checked.

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\yz8w97f3zv2uj.dll
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmer\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programmer\WinHTTrack\WinHTTrackIEBar.dll
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/245ebd09140e71b53f05/netzip/RdxIE601.cab
O20 - AppInit_DLLs: wbsys.dll h38vcmkbz7debe.tlb


Åbn en tilfældig mappe, klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".



Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.


Søg efter disse filer:

C:\WINDOWS\System32\yz8w97f3zv2uj.dll>>>>slet filen yz8w97f3zv2uj.dll
C:\WINDOWS\System32\matrixhere.exe>>>>slet filen matrixhere.exe
C:\Programmer\WinHTTrack\WinHTTrackIEBar.dll>>>>slet mappen WinHTTrack

Derefter genstarter du og sender en ny log ind til check

Jeg kunne ikke finde:
C:\WINDOWS\System32\yz8w97f3zv2uj.dll>>>>slet filen yz8w97f3zv2uj.dll
C:\WINDOWS\System32\matrixhere.exe>>>>slet filen matrixhere.exe

Og problemet er der endnu!

Og her er den nye log!



Logfile of HijackThis v1.98.0
Scan saved at 13:27:13, on 02-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Valve\Steam\Steam.exe
C:\Programmer\Spyware Doctor\spydoctor.exe
C:\Programmer\Samurize\Client.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\Diverse\Antivirus\HiJackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\vksd95kfb8obkf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\ACE Mega CoDecS Pack\SystemS\RealMedia\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - Startup: Samurize.lnk = C:\Programmer\Samurize\Client.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: ~$SKE SEDDEL TIL SOMMERHUS TUR ANNOs 2004.doc
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geograf.com/viewer/mgaxctrl.cab
O20 - AppInit_DLLs: h38vcmkbz7debe.tlb

Kan jeg ikke bare formatere mit C drev og installere Windoes igen? Det er er ret besværligt! Skal jeg dobbelt formatere hvis det er?

Nej det skal du ikke.....
Vi er der næsten :O)

okay

Start op i fejlsikret og fix disse:
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\vksd95kfb8obkf.dll
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O20 - AppInit_DLLs: h38vcmkbz7debe.tlb

Find og slet disse stadig i fejlsikret:
C:\WINDOWS\System32\vksd95kfb8obkf.dll
C:\WINDOWS\System32\matrixhere.exe

Genstart og ny log :O)

det prøver jeg lige! Brb

http://www.mwti.net/antivirus/free_utilities.asp
Så skal du lige hente denne scanner.
I opsætningen sætter du den til at scanne alt

kunne kun finde C:\WINDOWS\System32\matrixhere.exe så den slettede jeg! Jeg er ved at hente det program der og scanne nu!

ok :O)

Så! Den fandt 3, som den slettede!

File C:\WINDOWS\System32\014ozn20t9.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\matrixhere.exe infected by "Trojan.Win32.Krepper.p" Virus. Action Taken: File Deleted.
File C:\WINDOWS\f1.exe infected by "Trojan.Win32.Small.v" Virus. Action Taken: File Deleted.

Hvad så nu?

Jeg scannede igen, og den fandt følgende:

File C:\WINDOWS\System32\28dphad5968.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\matrixhere.exe infected by "Trojan.Win32.Krepper.p" Virus. Action Taken: File Deleted.

En gang mere:

File C:\WINDOWS\System32\pupf3xz3f3yf.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\matrixhere.exe infected by "Trojan.Win32.Krepper.p" Virus. Action Taken: File Deleted.

Vi skla finde den fil der loader de trojanere....
Øjeblik...

Endnu en scan:

File C:\WINDOWS\System32\8c1e19bfeo6cs.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\matrixhere.exe infected by "Trojan.Win32.Krepper.p" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\uwjx1oam280.dll infected by "Trojan.Win32.Krepper.q" Virus. Action Taken: File Deleted.



Hver gang min scan er færdig får jeg meddelese fra SpywareGuard at min startside forsøger at ændre sig til den super-spider

Kom med en ny log

Logfile of HijackThis v1.98.0
Scan saved at 14:04:54, on 02-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Valve\Steam\Steam.exe
C:\Programmer\Spyware Doctor\spydoctor.exe
C:\Programmer\Samurize\Client.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\Funessen\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\Funessen\LOKALE~1\Temp\kavss.exe
D:\Diverse\Antivirus\HiJackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\6t2wmtaabhnv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - Startup: Samurize.lnk = C:\Programmer\Samurize\Client.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: ~$SKE SEDDEL TIL SOMMERHUS TUR ANNOs 2004.doc
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geograf.com/viewer/mgaxctrl.cab
O20 - AppInit_DLLs: h38vcmkbz7debe.tlb

Det er den nederste linie der laver alt balladen
Jeg skal lige finde et program...

Hent FINDnFIX her:
http://downloads.subratam.org/FINDnFIX.exe
Dobbeltklik på filen - den vil installere sig på din computer i C:\FINDnFIX
I mappen ligger der !LOG!.bat, som du skal dobbeltklikke på - der går nu lidt tid, mens den indhenter informationer - når den er færdig, lægges der en Log.txt i mappen. Kopier indholdet herind.

»»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»»»
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q837009-Q832894
Filsystemtypen er NTFS.
C: er ikke ‘ndret.

Mon 02 Aug 04  14:12:44
  2:12pm  up 0 days,  0:23

»»»»»»'Dos devices'...
Location  Type  Name/Units  Attributes
======================================================
XXXX:XXXX  CHAR  NUL          1000000000000100
02E3:0000  CHAR  XMSXXXX0    1010000000000000
0070:0024  CHAR  CON          1000000000010011
0070:0036  CHAR  AUX          1000000000000000
0070:0048  CHAR  PRN          1010100011000000
0070:005A  CHAR  CLOCK$      1000000000001000
0070:006C  CHAR  COM1        1000000000000000
0070:007E  CHAR  LPT1        1010100011000000
0070:0090  CHAR  LPT2        1010100011000000
0070:00A2  CHAR  LPT3        1010100011000000
0070:00B4  CHAR  COM2        1000000000000000
0070:00C6  CHAR  COM3        1000000000000000
0070:00D8  CHAR  COM4        1000000000000000
======================================================

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 8/02)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

C:\WINDOWS\SYSTEM32\
  bridge.dll    Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K
  d2kpax.dll    Mon  2 Aug 2004  10.02.46  ..SHR              0    0,00 K
  jac.dll        Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K
  msxslab.dll    Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K

4 items found:  4 files (4 H/S), 0 directories.
  Total of file sizes:  0 bytes      0,00 K

unknown/hidden files...

C:\WINDOWS\SYSTEM32\
  bridge.dll    Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K
  d2kpax.dll    Mon  2 Aug 2004  10.02.46  ..SHR              0    0,00 K
  jac.dll        Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K
  msxslab.dll    Mon  2 Aug 2004  10.02.44  ..SHR              0    0,00 K

4 items found:  4 files, 0 directories.
  Total of file sizes:  0 bytes      0,00 K

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\BRIDGE.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\D2KPAX.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\JAC.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSXSLAB.DLL
SNiF 1.34 statistics

Matching files      :    4    Amount in bytes  : 0
Directories searched :    1    Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files      :    0    Amount in bytes  : 0
Directories searched :    1    Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files      :    0    Amount in bytes  : 0
Directories searched :    1    Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files      :    0    Amount in bytes  : 0
Directories searched :    1    Commands executed : 0

Masks sniffed for: *.DLL

»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 486

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ    h38vcmkbz7debe.tlb

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
    AppInit_DLLs = h38vcmkbz7debe.tlb

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Brugere
(ID-IO) ALLOW  Read            BUILTIN\Brugere
(ID-NI) ALLOW  Full access     BUILTIN\Administratorer
(ID-IO) ALLOW  Full access     BUILTIN\Administratorer
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group DOGZILLA\Ingen.
User is a member of group \Alle.
User is a member of group BUILTIN\Administratorer.
User is a member of group BUILTIN\Brugere.
User is a member of group \LOKAL.
User is a member of group NT AUTHORITY\INTERAKTIV.
User is a member of group NT AUTHORITY\Godkendte brugere.


»»»»»»Backups created...»»»»»»
  2:13pm  up 0 days,  0:23
Mon 02 Aug 04  14:13:14

A          C:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 08-02-2004 keyback.hiv
A          C:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        305 08-02-2004 winkey.reg
*Temp backups...
.             
..           
keyback2.hi_ 
winkey2.re_   


C:\FINDNFIX\
  JUNKXXX        Mon  2 Aug 2004  14.12.46  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                            vk                UDeviceNotSelecte
00001190:dTimeout    1 5            h      vk      '        zGDIProce
000011D0:ssHandleQuota"      9 0    | .    vk                  Spooler2
00001210:    y e s    n      vk                  swapdisk    h         
00001250:    X      vk                  TransmissionRetryTimeout    vk 
00001290:    '        MOUSERProcessHandleQuotax    h              X 
000012D0:            vk  &            Z AppInit_DLLss.ex    h 3 8 v c m
00001310:k b z 7 d e b e . t l b                                       
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                                               

---------- WIN.TXT
AppInit_DLLss.exÐÿÿÿh
--------------
--------------
$0117F: UDeviceNotSelectedTimeout
$011C7: zGDIProcessHandleQuota
$01270: TransmissionRetryTimeout
$0129E: MOUSERProcessHandleQuotax
$012F0: AppInit_DLLss
--------------
--------------
h38vcmkbz7debe.tlb
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="h38vcmkbz7debe.tlb"

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 38 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "h38vcmkbz7debe.tlb"
0000    68 00 33 00 38 00 76 00 63 00 6d 00 6b 00 62 00  |  h.3.8.v.c.m.k.b.
0010    7a 00 37 00 64 00 65 00 62 00 65 00 2e 00 74 00  |  z.7.d.e.b.e...t.
0020    6c 00 62 00 00 00                                |  l.b...

------------
Dos mem debug...
Segment Size    Owner    Type          Vectors
=======================================================
0213    02300  IO        SYSTEM DATA 
0444    00AB0  COMMAND  PROGRAM      22 23 24 2E
04F0    00070  MSDOS    FREE         
04F8    00420  COMMAND  ENVIRONMENT 
053B    00350  MSDOS    FREE         
0571    017D0  KB16      PROGRAM      09 2F D3 DD E4
06EF    00840  LMEM      PROGRAM      E6
0774    988B0  MSDOS    FREE         
=======================================================


Så er vi nået så langt jeg kan være med.
Jeg beder en ekspert på det program guide dig igennem resten i aften/eftermiddag. Alt efter hvornår han dukker op :O)

okay! Tak for hjælpen! :o)

Fjern Spyware doctor i Tilføj/Fjern programmer, hvis du kan.

Hent CWShredder, Mwav scanneren, Spybot og Adaware.
Kør Spybot og opdater den online, luk den så uden at scanne.
Gør det samme med Adaware.
http://www.majorgeeks.com/download4086.html - CWShredder. Det er nyeste version.
ftp://ftp.da-s.com/mwti/download/tools/mwav.exe
http://spywarefri.dk/vaerktoj.htm#adaware  http://www.spywarefri.dk/tipsogtricks.htm#adaware - Vejledning.
http://spywarefri.dk/vaerktoj.htm#spybot

Pak CWShredder ud i en mappe kun til den.
Pil kablet til dit internet ud, så der er 100% afbrudt.
Genstart så i fejlsikret (tryk <F8> under opstart), deaktiver ALLE sikkerhedsprogrammer, kør CWShredder, husk at klikke på Fix og ikke på Scan only.
Når CWShredder er færdig, så sletter du følgende filer, men du skal kunne se alle filer:
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.

C:\WINDOWS\System32\6t2wmtaabhnv.dll
C:\WINDOWS\SYSTEM32\BRIDGE.DLL
C:\WINDOWS\SYSTEM32\D2KPAX.DLL
C:\WINDOWS\SYSTEM32\JAC.DLL
C:\WINDOWS\SYSTEM32\MSXSLAB.DLL
C:\WINDOWS\System32\matrixhere.exe
h38vcmkbz7debe.tlb Brug Start->Søg.
C:\Programmer\Spyware Doctor\ hele mappen.

Så genstarter du normalt, kør så Spybot, afhjælp de problemer spybot selv sætter flueben ved.
Så scanner du med Ad-aware, derefter med Mwav scanneren, aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.

Så genstarter du og lægger en frisk Hijackthislog ind.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.

Nu blev den endelig færdig!


Logfile of HijackThis v1.98.0
Scan saved at 22:34:37, on 02-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programmer\Samurize\Client.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Diverse\Antivirus\HiJackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Startup: Samurize.lnk = C:\Programmer\Samurize\Client.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programmer\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: ~$SKE SEDDEL TIL SOMMERHUS TUR ANNOs 2004.doc
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://download.blender.org/release/plugin/Blender3DPlugin.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geograf.com/viewer/mgaxctrl.cab
O20 - AppInit_DLLs: h38vcmkbz7debe.tlb

Her er en mulig løsning, den er ond den infektion.
http://www.aluriasoftware.com/forum/showpost.php?p=131&postcount=14

Hey igen, jeg lånte min bruger til min mate, så han kunne skrive om sit problem her.. men ved sq ikke om han havde tolmodighed til at få det ordnet. Anyway, så vil jeg gerne dele points ud til dem, som selv ved at de har gjordt sig fortjent til dem.


Gider ikke læse det hele igennem.. ;)

Men bare smid et svar, så accepterer jeg. :)

Kommer her ;O)

Ja og på veje af ham, tak.. :D

Det var så lidt
Tak for point :O)