180 solution /msbb

Følg vejledningen her:
Gå ind her og hent Spybot og Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Installer og kør Spybot, opdater online, scan, afhjælp valgte problemer, genstart.
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

jeg venter med hijackthis til msbb er i joblisten igen, spybot  ad aware og et hav af andre programmer er afprøvet, men den kommer frygtelig tilbage igen efter kort tid.

Du behøver ikke vente.
Vi plejer at give lidt råd med på vejen efter en rensning, og der er næsten 100% sikkert noget i loggen allerede nu.

Jeg kan se øverst i loggen er der vist et par stykker som ikke er helt ok, kan det ikke passe?


Logfile of HijackThis v1.98.2
Scan saved at 8:08:39 PM, on 20/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\nye pogrammer\pestpatrol\PestPatrol\PPControl.exe
C:\NYEPOG~1\PESTPA~1\PESTPA~1\PPMemCheck.exe
C:\NYEPOG~1\PESTPA~1\PESTPA~1\CookiePatrol.exe
E:\cs\cs\steam\steam.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\nye pogrammer\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2B0692FB-0EAB-322B-774E-C88F06E767B2} - (no file)
O2 - BHO: (no name) - {2B2B1DF2-D1FC-4CAE-A42C-6CB1A98BD4F1} - (no file)
O2 - BHO: (no name) - {41720A04-D105-4F41-8DC1-0BC8F4FC166E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\nye pogrammer\Kaspersky.Anti-Virus.Personal.v5.0.121.Key.Only\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\nye pogrammer\pestpatrol\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\NYEPOG~1\PESTPA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\NYEPOG~1\PESTPA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKCU\..\Run: [Steam] "e:\cs\cs\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://www.toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

Den er der allerede... Du får en procedure om 5-10 minutter

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O2 - BHO: (no name) - {2B0692FB-0EAB-322B-774E-C88F06E767B2} - (no file)
O2 - BHO: (no name) - {2B2B1DF2-D1FC-4CAE-A42C-6CB1A98BD4F1} - (no file)
O2 - BHO: (no name) - {41720A04-D105-4F41-8DC1-0BC8F4FC166E} - (no file)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab


Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
C:\Program Files\Windows SyncroAd

Filer:
<ingen>

Hele indholdet af mappen c:\temp skal slettes.

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol

Kaspersky programmet fandt intet, og her er loggen.

Logfile of HijackThis v1.98.2
Scan saved at 8:48:16 PM, on 20/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE
C:\nye pogrammer\pestpatrol\PestPatrol\PPControl.exe
C:\NYEPOG~1\PESTPA~1\PESTPA~1\PPMemCheck.exe
C:\NYEPOG~1\PESTPA~1\PESTPA~1\CookiePatrol.exe
E:\cs\cs\steam\steam.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\nye pogrammer\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\nye pogrammer\Kaspersky.Anti-Virus.Personal.v5.0.121.Key.Only\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\nye pogrammer\pestpatrol\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\NYEPOG~1\PESTPA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\NYEPOG~1\PESTPA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [Steam] "e:\cs\cs\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://www.toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab

Den er faktisk helt ren nu.

Nu kan jeg se at du har pestpatrol inde, og den er jeg ikke helt dus med, så jeg kan ikke udtale mig om kvaliteten af deres spyware kontrol, men med tanke på at den infektion jo bliver ved med at komme tilbage, så synes jeg du skal have lidt mere beskyttelse:

Jeg bruger selv spybot og spywareblaster. Begge er gratisprogrammer.

Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Jeg takker mange gange for hjælpen, kan du sluttelig fortælle hvad det var han havde reddet sig af kønssygdomme?

Velbekomme :)

Syncroad:
http://securityresponse.symantec.com/avcenter/venc/data/adware.syncroad.html
180 solutions eller ncase:
http://www.winpatrol.com/db/freesample/msbb.html
Related:
Sletter vi altid hvis det er muligt fordi de udgør en sikkerhedsrisiko og kan skjule snavs som ikke kan ses i loggen.
Windupdates:
Det er nærmest et websted hvor den slags snavs downloades. I nogle tilfælde kan man rende ind i at 16 bit programmer ikke kan køres fordi "WinAd" sletter c:\windows\system32\autoexec.nt, så den må du godt lige kontrollere at du stadig har. Ellers så kopier den fra c:\windows\repair, hvor den også ligger.

De sidste er activex komponenter som er downloadet fra internettet i forbindelse med at man har kørt et eller andet fra nettet.
Der har vi den holdning kun at beholde "alvorlige" activex komponenter. Alle spil activex komponenter sletter vi. Går man så ind på siden igen kommer activex komponenten ned igen, men det vil være for stor en hæmsko på internettet hvis man ikek tillader det.

Ok tak for det, den der spywareblaster, hvordan skal man indstille den for at få det bedste resultat ud af programmet?

Du downloader den, installerer den, klikker updates og opdaterer den, så klikker du protection og kan nu se 2 røde linier. Dem klikker du på en af gangen, vinger af i boksen(e) øverst oppe og vælger så tilsidst "Protect against checked items".

Alternativt kan du klikke knapperne øverst oppe hvor der står internet explorer og restricted sites. Det er alt hvad du behøver at gøre.
En gang imellem bør du så gå ind og køre updates for at vedligeholde beskyttelsen.

>> Alternativt kan du klikke knapperne øverst oppe hvor der står internet explorer og restricted sites. Det er alt hvad du behøver at gøre.

Den kunne misforstås.
Nedenstående er nok mere korrekt:

Alternativt kan du klikke knapperne øverst oppe hvor der står internet explorer og restricted sites. Det er alt hvad du behøver at gøre for at komme ind, hvor du skal vinge af i boksene og klikke "Protect against checked items".

Tonny jeg tror altså der er noget mere, da han åbnede IE her idag fangede hans virusprogram en eller anden trojaner som hed noget med startpage, mere fik jeg ikke set. Kan du se ud af loggen om noget som ikke skal være der, rører på sig?

Logfile of HijackThis v1.98.2
Scan saved at 6:15:32 PM, on 21/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Messenger Plus! 3\MsgPlus.exe
C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programmer\ArcSoft\VideoImpression 1.6\videoimp.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\nye pogrammer\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmer\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\nye pogrammer\Kaspersky.Anti-Virus.Personal.v5.0.121.Key.Only\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "C:\nye pogrammer\MBM\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Steam] "e:\cs\cs\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://www.toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab

Loggen er stadig ren !

Hvad det end var i så, så er det ikke kommet ind.

Er der ikke en log i det antivirus program, der kan fortælle noget mere ?

Er firewall'en slået til ?

Kaspersky er sat til at delete så jeg kan ikke lige se noget, kigger efter en gang mere, og firewalen er slået til, det er XP SP2´s egen, hvor meget den er værd, ved jeg så ikke, det er jo noget microsoft ;o)

Så Tonny, nu efter maskinen blev startet op kom bæstet i Kaspersky´s fælde igen, kasper siger at det er C:windows system32 mcdp dll og så står der også trojan win32 startpage.ix

Ok, jeg har undersøgt hvordan den kommer ind og alle sider siger samstemmende at det er en sårbarhed i Microsoft Virtual Machine der gør at den kan komme ind.

Så du har såvidt jeg kan se 2 muligheder:
Opdater din maskine på windowsupdate og se efter om der bliver installeret et fix til Microsoft Virtal Machine. Gør der det, så skulle det være ok.
Hvis ikke, så prøv at slette Microsoft Virtal Machine og istedet bruge Sun's Java:
http://java.sun.com/j2se/1.4.2/download.html

Den er opdateret med alt godt fra havet, så vi må nok slette skidtet og smide sun ind i stedet.

jeg spørger lidt dumt, hvor ligger den virtal machine henne, jeg kan ikke finde den under tilføj/fjern programmer?

Hmm.. det var da lidt vanskeligere end jeg troede.
Her er en side der forklarer hvordan man gør:
http://www.windows-help.net/WindowsXP/howto-21.html

Jeg tror vi har et problem, der er måske slet ikke virtal java på maskinen fordi hvis jeg prøver afinstallationsmetoden du linker til, kommer der en fejl der siger "java.inf blev ikke fundet"  så den startpage fidus der fanges af kaspersky adskillige gange om dagen, er nok kommet  ind en anden vej.