Søg
Avatar billede b2 Nybegynder
04. september 2004 - 18:11 Der er 43 kommentarer og
3 løsninger

secure.html

Hej! Mit problem er lig "http://www.eksperten.dk/spm/519998"  men hvor "Ihatespy" for løst sit problem er jeg ikke helt så heldig.

Har fuldt John Stigers og Andersenph's fine instruktioner, men løber i problemer, der hvor der skal slettes filer i fejlsikret tilstand, jeg kan ganske enkelt ikke finde noget som ligner disse :(

Har prøvet med Ad-aware 6.0 og Spybot -search and destroy 1.3

Nedenfor seneste HijackThis-log
----------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 18:10:47, on 04-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winad Client\Winad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Brian\Application Data\irdo.exe
C:\WINDOWS\System32\yfczfxxn.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Program Files\Logitech\iTouch\kbdtray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Boau] C:\Documents and Settings\Brian\Application Data\irdo.exe
O4 - HKCU\..\Run: [Ushwkznp] C:\WINDOWS\System32\yfczfxxn.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/08509324ff1c23105d21/netzip/RdxIE601.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede tonnybrandt Nybegynder
04. september 2004 - 18:45 #1
Jeg kigger på den ..
Avatar billede tonnybrandt Nybegynder
04. september 2004 - 18:54 #2
Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Boau] C:\Documents and Settings\Brian\Application Data\irdo.exe
O4 - HKCU\..\Run: [Ushwkznp] C:\WINDOWS\System32\yfczfxxn.exe
O4 - Startup: PowerReg Scheduler V3.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/08509324ff1c23105d21/netzip/RdxIE601.cab

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.

-------------------
Mapper:
C:\Program Files\Winad Client

Filer:
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\qmgrplxy.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
C:\Documents and Settings\Brian\Application Data\irdo.exe
C:\WINDOWS\System32\yfczfxxn.exe
C:\WINDOWS\System32\PowerReg Scheduler V3.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Jeg ser lige at du hverken her servicepack 1 på hverken XP eller Internet explorer. Det bør du få ordent med det samme da du er meget sårbar uden at være opdateret.
Avatar billede johnstigers Seniormester
04. september 2004 - 19:08 #3
Er med på en "lytter" ;)
Avatar billede b2 Nybegynder
04. september 2004 - 19:31 #4
Stort!!! Jeg skal forsøge at følge opskriften :)
Avatar billede b2 Nybegynder
04. september 2004 - 19:36 #5
ØV, får først "bagt" i morgen - håber det er ok.

Tak for hjælpen så langt!!!
Avatar billede b2 Nybegynder
05. september 2004 - 18:24 #6
Lidt problemer:

De sidste filer jeg skal slette manuel lykkedes ikke:

Nedenstående blev ikke fundet:
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll
C:\Documents and Settings\Brian\Application Data\irdo.exe
C:\WINDOWS\System32\yfczfxxn.exe
C:\WINDOWS\System32\PowerReg Scheduler V3.exe

Den her kunne jeg ik slette, da "et program bruger filen"
C:\WINDOWS\System32\qmgrplxy.dll



Den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 18:23:22, on 05-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\iTouch\kbdtray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede tonnybrandt Nybegynder
05. september 2004 - 19:28 #7
Prøv at starte i fejlsikret tilstand igen.


Klik start | kør, skriv:
regsvr32 /u C:\WINDOWS\System32\qmgrplxy.dll

Scan så igen med HiJackThis og fix disse linier:
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Efter følgende åbner du en stifinder og sletter:
C:\WINDOWS\System32\qmgrplxy.dll

Genstart normalt og kom med en ny log.
Avatar billede b2 Nybegynder
06. september 2004 - 22:25 #8
Modtager desværre en fejl besked når jeg skriver "regsvr32..."

"C:\windows\system32\qmgrplxy.dll was loaded, but the DllUnregisterSercer entry point was not found.
This file can not be registrered"

Det gør vist qmgrplxy.dll filen ikke kan slettes i sidste punkt?
Avatar billede tonnybrandt Nybegynder
06. september 2004 - 22:40 #9
Ja det gør det desværre nok.

Prøv så dette, igen i fejlsikret tilstand:

Klik start | kør, skriv:
cmd /c del C:\WINDOWS\System32\qmgrplxy.dll /f

Scan så igen med HiJackThis og fix disse linier:
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Genstart normalt og kom med en ny log.

Hvis den nu stadig er der efter dette forsøg skal vi have fat i et andet program, for så ligger der et andet skjult program, som "beskytter" denne dll-fil og genskaber den igen med det samme den bliver slettet.
Avatar billede b2 Nybegynder
06. september 2004 - 23:09 #10
*grehh* det må så være mulighed 2 vi skal til :(

"cmd /c del..." giver fejl besked:
the process cannot be access the file because it is being used by another process

"08.." linien er slette
"02 - BH0: qmgrplxy..." bliver genskabt hvergang..
Avatar billede johnstigers Seniormester
06. september 2004 - 23:13 #11
Ok....
Prøv at fjerne den BHO med dette program: http://www.registry-cleaner.net/bho-manager.htm
Avatar billede johnstigers Seniormester
06. september 2004 - 23:16 #12
BHODemon er også god til at fjerne de BHO: http://www.freefiles.dk/modules/mydownloads/singlefile.php?lid=380
Avatar billede b2 Nybegynder
06. september 2004 - 23:40 #13
Har hentet begge programmer, men
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll

bliver regeneret hvergang jeg genstarter...
Avatar billede johnstigers Seniormester
06. september 2004 - 23:58 #14
ok - så bliver det lidt mere tricky...
http://www.arlet.dk/systemgendannelsen.htm - følg denne anvisning til at deaktivere systemgendannelsen, da det muligvis er den der gendanner den BHO.
når du har deaktiveret og genstartet så lav en ny log med hijackthis og smid herind.
Avatar billede tonnybrandt Nybegynder
06. september 2004 - 23:59 #15
Ok, så prøver vi en anden metode:

Hent dette program og pak det ud til sin egen mappe:

http://members.blackbox.net/hp_links/21/nikolaus.rameis/_data/startdreck.zip

Kør Startdreck.exe - tryk på "Config" - tryk "unmark all" - sæt et flueben i:

Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind.
Avatar billede johnstigers Seniormester
07. september 2004 - 00:06 #16
Jeg håber ikke spørger bliver alt for forvirret ;)
Avatar billede tonnybrandt Nybegynder
07. september 2004 - 00:07 #17
Sorry, jeg opdaterede ikke inden jeg sendte. Det tog lidt tid at finde proceduren *s*

Normalt vil jeg ikke forstyrre, hvis der er en anden expert igang :)
Avatar billede johnstigers Seniormester
07. september 2004 - 08:16 #18
Det er vist mig der skal undskylde - du var jo igang ;)
Avatar billede b2 Nybegynder
07. september 2004 - 17:43 #19
Jeg er egentligt bare vild imponeret over jer begge og alle de andre som gide bruge jeres tid på at hjælpe mig og andre!! Stor respekt for det!

Jeg starter bare fra en ende af og ser hvad der sker.
Avatar billede b2 Nybegynder
07. september 2004 - 17:49 #20
1) Min systemgendannelse har været deaktivret hele tiden?

2) Et stks log:
StartDreck (build 2.1.7 public stable) - 2004-09-07 @ 17:49:11 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as Brian at FIRESEED

»Registry
»Run Keys
  »Current User
  »Run
    *CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
    *MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    *LDM=C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    *Registry Cleaner Scheduler="C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
  »RunOnce
  »Default User
  »Run
    *CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
  »RunOnce
  »Local Machine
  »Run
    *SiSUSBRG=C:\WINDOWS\SiSUSBrg.exe
    *NvCplDaemon=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    *zBrowser Launcher=C:\Program Files\Logitech\iTouch\iTouch.exe
    *EM_EXEC=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    *nwiz=nwiz.exe /install
    *NeroCheck=C:\WINDOWS\system32\NeroCheck.exe
    *InCD=C:\Program Files\ahead\InCD\InCD.exe
    *SunJavaUpdateSched=C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
    *TkBellExe="C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
    +OptionalComponents
    +MSFS
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
  »RunOnce
  »RunServices
  »RunServicesOnce
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +0=<idle>
  +4=<system>
  +424=\SystemRoot\System32\smss.exe
  +480=\??\C:\WINDOWS\system32\csrss.exe
  +504=\??\C:\WINDOWS\system32\winlogon.exe
  +548=C:\WINDOWS\system32\services.exe
  +560=C:\WINDOWS\system32\lsass.exe
  +816=C:\WINDOWS\system32\svchost.exe
  +888=C:\WINDOWS\System32\svchost.exe
  +968=C:\WINDOWS\System32\svchost.exe
  +992=C:\WINDOWS\System32\svchost.exe
  +1188=C:\WINDOWS\system32\spoolsv.exe
  +1444=C:\WINDOWS\System32\nvsvc32.exe
  +1484=C:\WINDOWS\System32\svchost.exe
  +1512=C:\WINDOWS\System32\MsPMSPSv.exe
  +1876=C:\WINDOWS\Explorer.EXE
  +1988=C:\Program Files\Logitech\iTouch\iTouch.exe
  +1996=C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
  +2020=C:\Program Files\ahead\InCD\InCD.exe
  +2028=C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
  +2036=C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  +2044=C:\WINDOWS\System32\ctfmon.exe
  +144=C:\Program Files\MSN Messenger\MsnMsgr.Exe
  +172=C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  +180=C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
  +244=C:\Program Files\BHODemon 2\BHODemon.exe
  +484=C:\Program Files\Logitech\iTouch\kbdtray.exe
  +1860=C:\WINDOWS\System32\wuauclt.exe
  +1252=C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
  +340=C:\Program Files\Internet Explorer\iexplore.exe
  +188=C:\Program Files\startdreck\StartDreck.exe
»Application specific
Avatar billede fromsej Praktikant
07. september 2004 - 20:04 #21
Tjek mappen C:\Documents and Settings\Brian\Application Data\
om der ligger nogle undermapper med underlige navne, som regel  i to eller tre ord.
Tjek det samme i C:\windows\system32
Kom så med en frisk log.
Avatar billede fromsej Praktikant
07. september 2004 - 20:04 #22
Altså fra hijackthis.
Avatar billede b2 Nybegynder
07. september 2004 - 22:54 #23
hm, nu er jeg ikke lige sikker på hvad der kan slettes....
Har slettet:
Inter thrust (mappe)
etrr (mappe)
Identeties (mappe)

Logfile of HijackThis v1.98.2
Scan saved at 22:50:36, on 07-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Program Files\BHODemon 2\BHODemon.exe
C:\Program Files\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094505341088
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede tonnybrandt Nybegynder
10. september 2004 - 14:47 #24
Fromsej > kan det være BhoDemon der beskytter den linie ?
Avatar billede fromsej Praktikant
10. september 2004 - 18:33 #25
ja, det kan det godt.
Jeg tror vi skal til at bede folk om at afbryde deres netforbindelse og deaktivere alle sikkerhedsprogrammer, inden de fixer.

B2>>Prøv lige det, og fix så disse linier:
O2 - BHO: qmgrplxy - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - C:\WINDOWS\System32\qmgrplxy.dll
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
Find og slet i fejlsikret:
C:\WINDOWS\System32\qmgrplxy.dll
Genstart og ny log.
Avatar billede b2 Nybegynder
10. september 2004 - 19:49 #26
Ok jeg prøver det her:

1) Hiver stikket ud a maskinen
2) lukke alle programmer
3) Hijackthis -> fix de to nævnte filer
4) genstarter i fejlsikker og sletter .dll filen

synes jeg har prøvet det før :) uploader en ny fix!
Avatar billede b2 Nybegynder
10. september 2004 - 20:19 #27
Nu er "qmgrplxy...." væk
Min baggrund er nu blevet sort + teksten "Removal instructions"
-------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 20:16:03, on 10-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: scesrpcs - {9A6A5257-F25B-D205-59A4-56BAF84FC52A} - C:\WINDOWS\System32\scesrpcs.dll
O2 - BHO: (no name) - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094505341088
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede fromsej Praktikant
10. september 2004 - 21:55 #28
C:\WINDOWS\System32\scesrpcs.dll
Prøv lige at finde og højreklikke den, find så dato og tidspunkt for oprettelsen, sorter mappen så du får alle filer oprettet i samme minut +- et par minutter.
Er der nogen du ikke kender 100% så omdøb dem alle til "navn".nej og læg dem ind i en mappe du laver til formålet.
Tjek også i C:\windows og C:\windows\system efter filer oprettet på samme tidspunkt.
Fix så linierne:
O2 - BHO: scesrpcs - {9A6A5257-F25B-D205-59A4-56BAF84FC52A} - C:\WINDOWS\System32\scesrpcs.dll
O2 - BHO: (no name) - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - (no file)

Det her er jeg ikke helt med på?
>>Min baggrund er nu blevet sort + teksten "Removal instructions"<<
Genstart og ny log.
Avatar billede b2 Nybegynder
10. september 2004 - 22:25 #29
øhm, der er 1600 filer (mange dll) som er oprettet på samme tid (23-08-2001 kl 14:00)

Min baggrund på skrivebordet, var da det hele startede en masse grafik of tekst "you are in danger bla, bla..." nu er der kun "removal instructions" tilbage.

skal jeg prøve at slette scesrpcs.dll og de to 02 linier???
Avatar billede fromsej Praktikant
10. september 2004 - 22:47 #30
Hmm.
Det var godt nok en sjat.
Prøv som du skriver at fixe og fjerne scesrpcs.dll og de to 02 linier.
Kan du ikke sende et printscreen til from09sej (at) webspeed.dk , meget gerne som .jpg billede.
(Erstat (at) med @)

Ny log.
Avatar billede b2 Nybegynder
10. september 2004 - 23:29 #31
File scesrpcs.dll får jeg ikke lov at slette. Hverken igennem dos -promt, i fejlsikret mode eller i normal tilstand.

slettet:
O2 - BHO: (no name) - {B3B451AF-952B-C9B7-BB25-EE1C813E17A2} - (no file)

kan slettet vha fix, med kommer igen ved genstart
O2 - BHO: scesrpcs - {9A6A5257-F25B-D205-59A4-56BAF84FC52A} - C:\WINDOWS\System32\scesrpcs.dll

jpg af 1600 filer el af mit baggrunds billede?
Avatar billede fromsej Praktikant
10. september 2004 - 23:36 #32
Dann haben wir andere metoden, NE.
Boot på din XP CD, vælg Repair, vælg konsolmode/kommandoprompt og skriv:
cd\ <Enter> så er du i C:\>
cd windows\system32 <Enter>
attrib -h -r -s scesrpcs.dll <Enter>
del scesrpcs.dll <Enter>

Jpg skal være af dit baggrundsbillede.*S*
Avatar billede b2 Nybegynder
11. september 2004 - 00:37 #33
Så lykkedes det at slå den ihjeld...

Med risko for at blive mobbet: hvordan laver man et screen print? Der sker ikke det store ved at trykke på <shift> + <prt scr> (eller crtl, alt, alt gr + prt)

-------------------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 00:35:20, on 11-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Program Files\BHODemon 2\BHODemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094505341088
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede tonnybrandt Nybegynder
11. september 2004 - 00:40 #34
Blot tryk "Prt Scr" og klik så start | kør, skrv pbrush og tryk enter. Klik Rediger | sæt ind.

Jeg skal afholde mig fra mobningen *s*
Avatar billede b2 Nybegynder
11. september 2004 - 09:34 #35
ok mail send...

hvis jeg klikker med musen på teksten kommer den en hjemmeside op, så der er stadig noget galt.
Hjemme siden er http://www.smart-security.info/?affid=DNN-1 og den ligner den baggrund jeg havde da det hele startede :(
Avatar billede fromsej Praktikant
11. september 2004 - 10:46 #36
Prøv lige at tømme dine temp mapper, også Temporary Internet files.
Installer evt IE Privacy Keeper til at gøre jobbet for dig.
Der er intet i din log der ikke må være der.
http://www.unhsolutions.net/IEPK/downloads.shtml
http://www.spywarefri.dk/privacymanual.htm
Avatar billede b2 Nybegynder
11. september 2004 - 11:35 #37
øøvvv - det hjalp ik. Måske jeg bare skal geninstallere xp.. kan man det uden at midste alle muligt data? (dokumenter, ppt, kontakt personer i outlook etc?) eller har du/i et sidste gæt?
---------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 11:35:06, on 11-09-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\da\msntb.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Program Files\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Program Files\BHODemon 2\BHODemon.exe
O4 - Startup: InboxCop.lnk = C:\Program Files\InboxCop\bin\inboxcopUI.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094505341088
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
Avatar billede fromsej Praktikant
11. september 2004 - 11:48 #38
Det ville ikke skade hvis du installerede Servicepack 1.
Prøv igen at gå offline, deaktiver alle sikkerhedsprogrammer, fix disse:
O4 - HKCU\..\Run: [LDM] C:\Program Files\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Desktop Messenger\8876480\Program\LDMConf.exe

Hent og kør Regsupreme her, lad den slette alt det den finder:
http://www.macecraft.com/brief_rs/

Servicepack 1 her:
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/ servicepacks + IE
http://www.microsoft.com/downloads/details.aspx?FamilyId=D531BF00-D7BE-48E3-ABCC-961602BD72C2&displaylang=da - Hotfixes efter SP1 til XP.

Servicepack 2 her: (Så behøver du ikke 1)
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A

Se om det hjælper.
Ellers kan du prøve med en Repair:
http://fromsej.dk/html/repair.html
Avatar billede b2 Nybegynder
11. september 2004 - 13:45 #39
nope.

Virkede heller. Ok, jeg laver en repair ellers ender det nok med en gang formatering.
Avatar billede b2 Nybegynder
11. september 2004 - 13:47 #40
hov, hvordan virker det her... hvordan lukker jeg sagen eller er det jer?
Avatar billede fromsej Praktikant
11. september 2004 - 13:58 #41
Du lukker ved at acceptere et eller flere svar, marker navnet på de der skal have point i boksen til venstre og klik på accepter, hvis du mener at vi ikke har hjulpet dig, eller i det mindste prøvet, så accepterer du bare dit eget svar.
Avatar billede tonnybrandt Nybegynder
11. september 2004 - 14:00 #42
Her kommer også et svar fra mig ..
Avatar billede b2 Nybegynder
11. september 2004 - 14:17 #43
Det er jeg opmærksom på tonny :o)

Tak for hjælpen.
Avatar billede tonnybrandt Nybegynder
11. september 2004 - 14:18 #44
Velbekomme og takker for point :)
Avatar billede fromsej Praktikant
11. september 2004 - 14:31 #45
Tak for point, et par gode råd skal du lige have med:
Vi har skrevet et par artikler om sikkerhed på nettet.
http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Du kan også hente og have Servicepack 2 klar herfra:
http://www.microsoft.com/downloads/details.aspx?displaylang=da&FamilyID=049C9DBE-3B8E-4F30-8245-9E368D3CDB5A
Sørg for at have den installeret inden du går på nettet.
Mvh:
Fromsej/Team Spywarefri.
Avatar billede b2 Nybegynder
11. september 2004 - 20:12 #46
Ser fint ud.

Tak for links.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 00:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
29/0412:23 Facebook Af hkv i Sociale medier
White papers
Flere white papers »