AD-aware

Ja, det skulle være muligt:

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://www.spywarefri.dk/vaerktoj.htm
Derefter udpakker du Hijackthis og smider filen i en mappe, oprettet kun til den. Kør filen, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Her er den :
Logfile of HijackThis v1.98.2
Scan saved at 20:04:22, on 20-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Gem her\Norton\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\GEMHER~1\Norton\navapw32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
C:\Gem her\Logitech ( t )\iTouch.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Gem her\Flash path\sdstat.exe
C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
C:\Gem her\Logitech ( t )\kbdtray.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\NaviSearch\bin\nls.exe
C:\Programmer\BullsEye Network\bin\bargains.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\CashBack\bin\cashback.exe
C:\Gem her\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = B.C Transport
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\kim\bla\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Gem her\Norton\NavShExt.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programmer\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Gem her\Norton\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\GEMHER~1\Norton\navapw32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Gem her\Logitech ( t )\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\gem her\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\RunServicesOnce: [1] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCHal.dll
O4 - HKLM\..\RunServicesOnce: [2] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BlstCtrl.dll
O4 - HKLM\..\RunServicesOnce: [3] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCInfo.dll
O4 - HKLM\..\RunServicesOnce: [4] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCMon.dll
O4 - HKLM\..\RunServicesOnce: [5] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCColor.dll
O4 - HKLM\..\RunServicesOnce: [6] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCDesk.dll
O4 - HKLM\..\RunServicesOnce: [20] C:\WINDOWS\System32\RegSvr32.exe /s C:\WINDOWS\System32\BCPref.dll
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Genvej til explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Startup: Genvej til msimn.lnk = C:\Programmer\Outlook Express\msimn.exe
O4 - Startup: Start Internet Explorer-browser.lnk = C:\Programmer\Internet Explorer\iexplore.exe
O4 - Global Startup: FlashPath Monitor.lnk = C:\Gem her\Flash path\sdstat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Gem her\Office 2000\Office\OSA9.EXE
O4 - Global Startup: RealDownload.lnk = C:\Gem her\RealDownload\Realdownload.exe
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Sorry, Hotmail spam filter kan ikke lide overskriften på spørgsmålet, så den røg deri, og jeg har først set mailen nu.

Jeg kigger på loggen ..

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.


Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis.
Dobbelttjek, så alt kommer med.

O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programmer\NavExcel\NavHelper\v2.0.4c\NHelper.dll


Genstart i Fejlsikret tilstand. (Klik F8 under opstarten)

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem. Det vil fjerne de filer som vi lige har fixet i HiJackThis.
---------------------------------------

Åbn en stifinder og slet disse:

Mapper:
C:\Programmer\NavExcel
C:\Programmer\BullsEye Network
C:\Programmer\CashBack
C:\Programmer\NaviSearch

Filer
C:\WINDOWS\system32\nvms.dll
C:\WINDOWS\system32\mscb.dll
C:\WINDOWS\system32\msbe.dll

Genstart normalt og kom med en ny log til kontrol

Klik også start | kør, skriv services.msc og tryk enter.

Scroll ned og se om du har en service der hedder ISEXEng. Fortæl mig om den findes.

Er du kommet videre med proceduren ?

Ny log kommer i morgen.

Hej igen. Her er den nye log.

Logfile of HijackThis v1.98.2
Scan saved at 13:05:04, on 23-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Gem her\Norton\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\GEMHER~1\Norton\navapw32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
C:\Gem her\Logitech ( t )\iTouch.exe
C:\Gem her\Flash path\sdstat.exe
C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Gem her\Logitech ( t )\kbdtray.exe
C:\Programmer\NaviSearch\bin\nls.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\BullsEye Network\bin\bargains.exe
C:\WINDOWS\system32\exdl2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Gem her\Hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = B.C Transport
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\kim\bla\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Gem her\Spy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Gem her\Norton\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Gem her\Norton\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\GEMHER~1\Norton\navapw32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Gem her\Logitech ( t )\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\gem her\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOCUME~1\Bruno\LOKALE~1\Temp\mwavscan.com" /s
O4 - Startup: Genvej til explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Startup: Genvej til msimn.lnk = C:\Programmer\Outlook Express\msimn.exe
O4 - Startup: Start Internet Explorer-browser.lnk = C:\Programmer\Internet Explorer\iexplore.exe
O4 - Global Startup: FlashPath Monitor.lnk = C:\Gem her\Flash path\sdstat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Gem her\Office 2000\Office\OSA9.EXE
O4 - Global Startup: RealDownload.lnk = C:\Gem her\RealDownload\Realdownload.exe
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) -

Service der hedder ISEXEng. er der også ????

Så kom det alligevel til sin ret at jeg brugte meget lang tid på en anden bruger med samme infektion som du.
Det var grunden til at jeg spurgte til ISEXeng servicen. Den er synderen !!

Gem teksten mellen de stiplede liner som en tekstfil med navnet remove.reg og læg den på dit skrivebord.

------------------------------------
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ISEXENG]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng]

-------------------------------------

klik start | kør, skriv services.msc og klik ok

Find ISEXEng, højreklik den og vælg egenskaber.

I starttype vælger du "Deaktiveret"
Og i tjenestetstatus klikker du knappen "Stop"

Klik anvend og ok

Luk alle vinduer, også dette.

Kør HiJackThis og fix disse:
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll


Genstart i fejlsikret tilstand og slet følgende filer og mapper:

Mapper:
C:\Program Files\NaviSearch
C:\Program Files\CashBack

Filer:
c:\windows\system32\angelex.exe
C:\WINDOWS\system32\nvms.dll
C:\WINDOWS\system32\mscb.dll
C:\WINDOWS\system32\msbe.dll

Dobbeltklik remove.reg som du gemte på skrivebordet tidligere og sig ja til at flette.

Genstart normalt og kom med en ny log til kontrol.

Her er der en ny log.

Logfile of HijackThis v1.98.2
Scan saved at 14:04:09, on 24-10-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\GEMHER~1\Norton\navapw32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
C:\Gem her\Logitech ( t )\iTouch.exe
C:\Gem her\Flash path\sdstat.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
C:\Gem her\Norton\navapsvc.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Gem her\Logitech ( t )\kbdtray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Gem her\Hijackthis\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = B.C Transport
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\kim\bla\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Gem her\Norton\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Gem her\Norton\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] C:\GEMHER~1\Norton\navapw32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\GEMHER~1\LOGITE~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Gem her\Logitech ( t )\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\gem her\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: Genvej til explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Startup: Genvej til msimn.lnk = C:\Programmer\Outlook Express\msimn.exe
O4 - Startup: Start Internet Explorer-browser.lnk = C:\Programmer\Internet Explorer\iexplore.exe
O4 - Global Startup: FlashPath Monitor.lnk = C:\Gem her\Flash path\sdstat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Gem her\Office 2000\Office\OSA9.EXE
O4 - Global Startup: RealDownload.lnk = C:\Gem her\RealDownload\Realdownload.exe
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Gem her\Office 2000\Office\1030\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) -

Bingo, så er den ren *s*

Kører den ordentligt ?

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm

Ja tak,den køre godt igen. Tak for hjælpen.

Velbekomme og takker for point :)