Problemer med orm, trojansk hest og genstart

Hvis du kan nå det inden den genstarter ...

Hent denne scanner.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.
Gå i fejlsikret tilstand, kør scanneren, og følg så næste vejledning i normal tilstand.

Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker og kører du Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.
Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

En anden ting du skal gøre er at sætte firewall på maskinen. klik start | indstillinger | netværksforbindelser | lanforbindelse. Klik egenskaber | fanebladet avanceret, og sæt et hak i den øverste "beskyt denne computer...".
Klik anvend og ok.

Derudover kan du stoppe genstarten hvis den tæller ned fra 60 sekunder, ved at klikke start | kør, skriv
shutdown -a
og tryk enter.

Tak - den er holdt op med at genstarte, men jeg prøver ovenstående alligevel...

Bare for at være sikker ville jeg lige høre. Jeg har slået systemgendannelse fra - er det rigtige at gøre i dette tilfælde?

Det kan ikke skade når den er så nyinstalleret som denne er.

Vi er holdt op med at bede folk om at slå systemgendannelse fra, da det fratager os en "redningsmulighed" hvis det nu går så galt at computeren ikke kan starte ordentligt efter en rigtig slem virus eller spyware

Så er der log...

Logfile of HijackThis v1.98.2
Scan saved at 17:20:51, on 07-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\config\systemprofile\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signon.ruc.dk/login?serviceAlias=portalino
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Jeg kan måske lige indskyde, at stadig jeg hele tiden får besked fra AVG om, at den trojanske hest ikke er fjernet...

Arbejder du på det???

Det er sikkert dit AVG der "beskytter" trojaneren, så den anden scanner ikke kan fjerne den. Prøv at hive stikket til internettet ud, og luk AVG, og scan med E-scan igen

Det gjorde ingen forskel...

Får du at vide hvor de inficerede filer ligger ?

Din log er ren. Der er ikke noget at komme efter.

Den trojanske hest popper op således: Virus: Trojan horse IRC/BackDoor.SdBot.48.BD is found in file C:\WINDOWS\system32\msnmsgr.exe

Prøv at køre IRClean i fejlsikret http://www.diamondcs.com.au/index.php?page=irclean

Når man har gjort det, skal man så delete eller sætte i karrantæne?

Hvad viser den?

Har ikke prøvet endnu...

Ok, i fejlsikret kan du roligt delete, men meld lige tilbage hvad den finder. Du kan så også prøve at scanne med både AVG, og E-scan, Hvis IRClean ikke finder noget

Der kom ingen rapport op efter jeg har kørt IRClean i fejlsikret - er dette normalt. Jeg har tidligere prøvet E-scan der ikke finder nogle vira, AVG finder den, men kan ikke fjerne...

Har lige prøvet TrojanHunter igen, den skriver følgende... Found possible trojan file: C:\WINDOWS\system32\config\systemprofile\Skrivebord\hijackthis.exe (Suspicious: UPX-packed file in Windows System folder) 1 possible trojan files found

Giver ikke nogen mening for mig, men måske for nogle af jer...?!?

Hvis IRClean ikke finder noget, kommer der ingen rapport. Nu må vi have fat i det helt tunge skyts

Prøv dette:
Hent en trial af TDS 3 her http://tds.diamondcs.com.au/index.php?page=download
Opdateringen manuelt her http://tds.diamondcs.com.au/index.php?page=update

Fanebladet "system testing"/scan control,flueben ved alle options-save configuration, luk på X. Igen "system testing"/full system scan.
Slet ikke noget selv, men meld tilbage hvad den finder.


TDS 3 vil muligvis ændre i din hostsfil under installationen, det er helt ok.

Kør den først i normal tilstand. AVG skal være lukket imens (vigtigt)

Trojanhunter skal også være lukket imens

Du skriver at AVG skal være lukket... Nu har jeg "fjernet" ikonet ved uret, ved at vælge close AVG control center. Er dette tilstrækkeligt?

Ja, og det samme med Trojanhunter. Hiv stikket til nettet ud mens du scanner. Husk at aktiver AVG, når du går på nettet igen

Er en lille smule nervøse, men here goes...

Et ekstra lille spørgsmål for en sikkerhedsskyld. Selvom jeg har lukket AVG kommer der stadig besked fra AVG Resident Shield om at jeg har trojansk hest på computeren. Er dette ok?

Det behøver du ikke at være ;-)

Vi krydsede lige;-) Du skal kun deaktivere AVG når din internetforbindelse er fjernet. AVG, passer godt på filen, Den "dækker" over den, nok derfor at den fortsætter med at advare. Hent TDS 3 med AVG aktiveret, og så følg ellers anvisningen

I kom forsent - har hentet TDS 3 med AVG deaktiveret, men har ikke hentet opdateringer eller scannet endnu. Skal jeg slå AVG til, mens jeg henter opdateringer?

Deruodver har jeg stadig min firewall på, men det er vel lige meget, hvis jeg ikke har net-stikket i, mens jeg scanner...

Nej hent bare opdateringeng, og gå af nettet hurtigst muligt. Firewall er ok

Nå her er resultatet... 1 alarm på: Live trojan found (in process memory). Name: DCOM RPC Exploit. File found in c:\WINDOWS\System32\msnmsgr.exe

Hele smøren er her....

20:13:19 [Init] Trojan Defence Suite v3.2.0  (UNLICENSED)
20:13:19 [Init] Started 07-09-04 20:13:19 Rom, normaltid (UTC: -1), Internet Time @800,91
20:13:19 [Init] Loading TDS-3 Systems ...
20:13:19 [Init] Token successfully adjusted.
20:13:19 [Init] • TDS Privileges  :  OK.      Adjusted TDS-3 token privileges to maximum
20:13:19 [Init] • Plugins          :  OK.      Loaded 13
20:13:19 [Init] • Exec Protection  :  Not Installed
20:13:19 [Init] WARNING: Your Radius.TD3 database needs to be updated!
20:13:19 [Init] Please download the latest from http://tds.diamondcs.com.au/radius.td3
20:13:19 [Init] Licensed users can use the Update facility from the TDS menu
20:13:20 [Init] Loading Radius Advanced Scanning Systems ... <R3 Engine, DCS Labs>
20:13:26 [Init] • Radius Advanced Specialist Extensions on standby for 13 trojan families
20:13:26 [Init] • Systems Initialised [37377 references - 15107 primaries/10325 traces/11945 variants/other]
20:13:26 [Init] Radius Systems loaded. <Databases updated 07-09-2004>
20:13:26 [Init] TDS-3 Ready. <User@127.0.0.1 - Danmark>
20:13:26 [Tip Of The Day] TDS-3 is the only anti-trojan system capable of detecting, enumerating and scanning in hidden NTFS Alternate Data Streams - you can enable this powerful capability in Scan Control.
20:13:26 [TDS] Good evening User.
20:13:29 [Locked File] Couldn't open c:\windows\system32\msnmsgr.exe for read access, file is locked
20:13:30 [Mutex Memory Scan] Started...
20:13:32 [Mutex Memory Scan] Finished (no trojan mutexes found).
20:13:32 [Trace Scan] Started...
20:13:37 [Trace Scan] Finished.
20:13:37 [TDS-3] This is an EVALUATION demo of TDS-3. Please see the help file for help on registering.
20:15:32 [CRC32] Started - verifying 29 files ...
20:15:34 [Locked File] Couldn't open c:\windows\system32\msnmsgr.exe for read access, file is locked
20:15:37 [CRC32] Test finished.
20:16:24 [Memory Scan] Memory scan started, please wait a moment ...
20:16:25 [Memory Scan] Memory scan complete.
20:16:25 [Mutex Memory Scan] Started...
20:16:26 [Mutex Memory Scan] Finished (no trojan mutexes found).
20:16:26 [Trace Scan] Started...
20:16:31 [Trace Scan] Finished.
20:16:31 [ServiceScan] Scanning for services and drivers ...
20:16:35 [ServiceScan] Scanned 269 services and drivers.
20:16:35 [File Scan] Scanning in A:\ ...
20:16:37 [File Scan] Scanned 0 files: 1 alarms in 1,132813 seconds (Avg 1, files/sec)
20:16:37 [File Scan] Scanning in C:\ ...
20:21:23 [Locked File] Couldn't open c:\windows\system32\msnmsgr.exe for read access, file is locked
20:26:53 [File Scan] Scanned 10304 files: 1 alarms in 616,3281 seconds (Avg 17,72 files/sec)
20:26:53 [File Scan] Scanning in D:\ ...
20:26:53 [File Scan] Scanned 0 files: 1 alarms in 0 seconds (Avg -1,#IND files/sec)
20:26:53 [Scan] Finished.

Som bonusinfo kan det oplyses, at den er startet to gange, fordi den startede automatisk inden jeg fik hentet updates....

TDS 3 laver altid en "startup scan" ;-) Vi skal have AVG til at "slippe" den fil. Hiv internetforbindelsen ud igen, og gå ind i AVG, og fjern alle markeringer der har med aktiv beskyttelse at gøre, i det hele taget deaktiver alt i AVG, sørg for at AVG ikke starter med Windows, luk AVG. Luk computeren, lad den "hvile" i 30 sekunder. Start så op i fejlsikret, og scan igen med TDS 3, og meld tilbage hvad den finder

Kunne det være en idé at slette AVG, og geninstallere efterfølgende...?

Det er lige drastisk nok syntes jeg, prøv lige det andet først, så tager vi den derfra ;-)

Jeg har nemlig endnu ikke fundet ud af, hvordan jeg får AVG til ikke at starte op samtidig med Windows...

Prøv bare at disable alle funktionerne i AVG

Så er den færdig... TDS 3 fandt ingenting. Da jeg genstartede i normalen, var den trojanske satan der stadig! Har du andre forslag?

Hmm... lidt pinligt, men jeg overså da fuldstændigt filen i HiJackThis loggen opdager jeg pludselig. Du får lige den procedure som jeg normalt giver:

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.mwti.net/antivirus/free_utilities.asp - Virusscanner.

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKLM\..\RunServices: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\Run: [Msn Messengers] msnmsgr.exe
O4 - HKCU\..\RunServices: [Msn Messengers] msnmsgr.exe


---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINDOWS\System32\msnmsgr.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Jeg har hentet Kaspersky scanneren een gang - kan jeg ikke bruge den igen?

Og helt i orden i øvrigt - bare den kommer væk, så er jeg glad!!!

Hmm, inden du sletter msnmsgr.exe så højreklik lige på den, vælg egenskaber, tjek om det er en Microsoft eller en "grim". Den skal muligvis afsluttes i joblisten ctrl+alt+del inden du kan slette den

Det sidste må jeg lige have igen på dansk...

... og hvornår skal jeg gå ud af fejlsikret, er det først når jeg genstarter efter at have scannet?

Sorry, jeg prøver igen. Når du har fundet den inficerede fil, det er den der ikke er en Microsoft fil, trykker du ctrl+alt+del, så får du Windows jobliste. Her finder du den inficerede msnmsgr.exe (der er sikkert også en legal) og højreklikker på den, og vælger "afslut process", så kan du forhåbentlig slette den.

Til dit sidste spørgsmål, ja, når du har fixet, scannet, og slettet, kan du genstarte i normal tilstand

Så er jeg med - hvad med fejlsikret...

Sorry, det tog lidt tid... EScan fandt ikke nogle virus m.m. men fandt een fejl: "ERROR!!! Invalid Entry in SYSTEM\CurrentControlSet\Services\vsdatant..." Ved ikke om det betyder noget?!?

Her er under alle omstændigheder den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 22:51:18, on 07-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\user\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signon.ruc.dk/login?serviceAlias=portalino
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Venter i spænding ;-)

Denne skal fixes i HiJackThis, men ellers er msnmgr væk:

O1 - Hosts: 64.91.255.87 www.dcsresearch.com

Herefter vil jeg godt have at du lige surfer lidt på nettet som normalt og genstarter et par gange.

Nogle af disse, kan altså finde på at komme tilbage, så jeg vil ikke erklære den helt ren endnu.

(Jeg er online 1 times tid endnu)

Grunden til at jeg missede den i første omgang, var at den var lavet for at man skulle misse den.
Jeg burde have set at den lå det forkerte sted og at der var et s på i enden af messenger, og derfor var snavs.
Men det gik desværre lidt for stærkt med at kigge loggen efter og erklære den ren. Jeg beklager.

Som før med fejlsikring...?

Nej, det burde være helt ligegyldigt.
Det er blot en tekstfil hvor HiJackThis sletter en linie.

Tak - vender tilbage om ca. 45 min....

Helt iorden. Jeg holder øje med spørgsmålet *s*

Vil egentlig gerne snart i seng... Så nu har jeg været lidt rundt på nettet. Her er den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 23:58:41, on 07-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signon.ruc.dk/login?serviceAlias=portalino
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Den burde være vendt tilbage hvis du både har været på nettet og genstartet, hvis det havde været af den type der kommer igen, så vi kan vist godt erklære dig ren (for anden gang) *s*

Hov - har sørme glemt at genstarte... prøver lige det!

Logfile of HijackThis v1.98.2
Scan saved at 00:06:09, on 08-09-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\user\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signon.ruc.dk/login?serviceAlias=portalino
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Tillykke, det ser stadig godt ud. Den er ren.

Du skal have mange tak for hjælpen :-)

Velbekomme og takker for point :)