C:Install.exe og Protoride.AO

Den her napper det meste skidt http://www.spywareinfo.dk/download/mwav.exe

Skal man køre Scan Clean?

Jeg kørte Scan Clean, og den fandt ikke de to vira. Andre bud?

Den scanner kan nogen gange tage flere timer at køre. Aktiverede du det hele i konfigurationen ?

Av, for noget yrk!
Det kunne se ud som om du kommer lidt på arbejde. Derfor ville jeg lige prøve om nogen af disse online-scannere kan deale med dit snavs:

1) http://www.pandasoftware.com/activescan/com/
2) http://housecall.trendmicro.com/housecall/start_corp.asp
3) http://www.ravantivirus.com/

Hvis ikke de kan klare det, så er der kun grovfilen til Protoride:
http://securityresponse.symantec.com/avcenter/venc/data/w32.protoride.worm.html

Og hvis online-scannerne ikke kunne klare din Install.exe, så må du lige se om din AVG ikke kan fortælle os, hvad det er for en Trojaner den har fundet.

Og nå ja, her som "svar" - hvis ovenstående viser sig at være nogen point værd :^)

Notér lige ned, hvad de tre online-scannere finder - hvad de kalder det snavs, de finder. Skidtet har det nemlig med at have mange synonymer... og det kan være en hjælp i den videre jagt.

JEg har lige kørt AVG, og den fandt dem begge... Igen. Trojaneren var i:

C:TEMP/Installer2.exe og hed Trojan Horse Dropper.Delf.3.L

Protoride blev fundet to steder. Nemlig:
C:/Documents and settings/All users/Start menu/PROGRAMS/STARTUP/MSUPDATE.Exe
og
C:/System Volume Information/_restore{17DA7ACC-42E6 (...) /RP267/A0068416.exe

Nu kører jeg dine links dér, men nu skulle Prototide og Trojaneren jo været fjernet. Dette har jeg dog gjort før med AVG, og så er de dukke top igen dagen efter.

Slå systemgendannelse fra, inden du scanner. Den ene af dem AVG finder, ligger der

Forevernewbie: Efter jeg har kørt de tre links vil jeg forsøge mig med din spyware-ting igen hvor det hele i konfigurationen er slået til.
Hvordan slår man systemgendannelse fra? - Så kører jeg lige AVG igen.

Hvis du har XP, så er det sådan her:
Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i "deaktiver systemgendannelse". Klik ok

Scanneren jeg linker til, finder både virus, og spyware. Den har verdens største database, med internetsnavs ;)

Lige hvad jeg har brug for!
Jeg slår systemgendannelsen fra og køre den igen, når jeg lige har kørt RAV-antivirus

forever> Jeg er lige nysgerrig. Hvor har du hørt at Kaspersky har verdens største db?

Nu er det jo sådan set heller ikke fordi AVG ikke kan finde snavset. Problemet for alle scannerene er at kunne slette det. Jeg har en lumsk mistanke om at vi mindst skal over i fejlsikret tilstand.

Jeg har lige fået to advarselsvinduer fra AVG om, at der er fundet Protoride i både MSUPDATE og den der anden underlige lange sti igen! AVG kan tydeligvis ikke fjerne skidtet. Jeg har fjernet systemgendannelsen nu. RAV er næsten færdig og har fundet 3 smuds-ting som dog ikke umiddelbart ser ud til at have noget med Protoride at gøre. Jeg poster lige hvad den har fundet når den er færdig

Det er almindeligt kendt, at Kaspersky har den største database. Du kan jo prøve at tjekke nogle forskellige fora. Prøv lige at se hvor mange signaturer den har. Over 100.000, og det er der mig bekendt, ikke andre der har. Scanneren indeholder Kaspersky´s X database, med Spyware, Adware og Malware. Kaspersky opdaterer deres antivirus en gang i timen. De er ret unikke, de russere der. De har hele tiden en masse folk på, til at finde skidt og møg på nettet.

Du kan godt prøve at scanne i fejlsikret, men normaltilstand uden systemgendannelse, og en genstart, burde også kunne gøre det

RAV Engine: 8.11
Virus Signatures: 107779

Tjaeh, de er åbenbart også godt med. De sælger i  øvrigt ikke antivirus mere. De er blevet opkøbt af M$. Deres antivirus skal formentlig danne grundlag for M$ eget antivirus. RAV var også et af de antivirus der klarede sig bedst i forskellige test´s ;)

RAV er blevet opkøbt af MS, så hvis du har hørt om at MS måske vil mose ind i den niche også så er det altså den de arbejder med. Selvom jeg om nogen er klar over at MS jo mere er et skælsord end en anbefaling.
Jeg kører aldrig under tre online scannere (foruden de installerede). De har det ofte med at finde lidt af hvert - hver for sig.

nogen gange ville det være smartere med en chat :^)

*G*

Ok, jeg kan høre at I virkelig er nogen hajer til vira!

Jeg kørte RAV og den fandt;

C:/WINDOWS/Downloaded Program Files/SyncroAdX.dll - Tool:Win32/Winad -> Infected
C:/Documents and Settings/Choy/Local Settings/Temp/THI574D.tmp/localNrd.cab->polall1l.exe - TrojanDownloader:Win32/Agent.AE -> Infected
C:/FOUND.029/FILE0000.CHK->search.vbs - VBS/Krepper.A* -> Infected

RAV kunne ikke slette nogen af dem ser det ud til. De ser dog ikke ud til at have noget at gøre med Protoride.
Jeg genstarter nu og kører AVG med systemgendannelsen slået fra, som I foreslår

Prøv lige den lille scanner i stedet for ;)

forever> hva siger du? Skal vi ikke sende tari og hans pestbefængte maskine over på spywarefri og lægge en HijackThis log?

...den lyder rigtig syg. Gad vide hvor man får så skravet så meget snusk sammen *lol*

Tjaeh, den kan jeg nu også klare, men du da ret, lad os lige se en log ;)




http://danborg.org/spy/HJT/hijackthis.exe


Hvis du ikke ved hvordan: Åbn HJT>scan>save log>den åbner så i notesblok. Copy/paste den herind i tråden.

Den kommer her: (Jeg har prøvet den før, og lagt den ud på et forum). Netop kørt:

Logfile of HijackThis v1.98.2
Scan saved at 02:13:49, on 23-10-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Link\Air Utility\AirCFG.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\WINDOW~4\SyncroAd.exe
C:\temp\msbb.exe
C:\PROGRA~1\WINDOW~4\WinSync.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Spyware\SpywareGuard\sgmain.exe
C:\Program Files\Spyware\SpywareGuard\sgbhp.exe
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe
C:\PROGRA~1\Grisoft\AVG6\avgw.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HJT\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\Spyware\SpywareGuard\dlprotect.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRA~1\WINDOW~4\SyncroAd.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [mxazyzyb] C:\WINDOWS\mxazyzyb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpywareGuard.lnk = C:\Program Files\Spyware\SpywareGuard\sgmain.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: msupdate.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Hvad siger I til det, drenge?

Jeg er halvvejs gennem AVG og den har allerede fundet den første protoride. Spørgsmålet er, om AVG kan fjerne den for good nu hvor systemgendannelsen er slået fra.
Jeg kører http://www.spywareinfo.dk/download/mwav.exe bagefter

Der er en masse skrammel i den, og det får du højst sandsynligt fra P2P Networking. Hent Spybot her http://www.safer-networking.org/en/mirrors/index.html Scan, og "afhjælp" alt med rødt, jeg kommer med en procdure om lidt

AVG færdig. Den fandt kun én Protoride og "Healede". Hm...

Spybot kører nu

Det her skal ud bl.a., men jeg bliver nødt til at slutte for nu. Kigger ind i morgen og hvis ikke forver indtil da har fået ryddet op, så tager vi den derfra.

O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRA~1\WINDOW~4\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Det er rigtigt, men lad os lige tage det hele på en gang. Jeg er snart klar med proceduren

Jeg har kørt Spybot, og den har fundet 43 items. Nogle af dem ser lidt suspekte ud, mens jeg tvivler på at andre skal fjernes. Der er masser HKEY-filer. Kan jeg trygt fjerne filerne (som alle er røde)?

Jeps, slet alt med rødt ;)

Ok, jeg smutter nu, men er tilbage igen i morgen! Tusind tak for hjælpen so far!

Ok, jeg lægger proceduren, så kan du bare lægge en ny log ind, når du er klar, en gang i morgen. Ja, idag er det vel ;)

Luk alle andre vinduer end Hijack This, og sæt flueben ved disse linier:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRA~1\WINDOW~4\SyncroAd.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [mxazyzyb] C:\WINDOWS\mxazyzyb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: msupdate.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -


Klik "fix checked"
-------------------------------------------------------------------

For at du kan finde skjulte filer og mapper, gør du dette:

Åbn en tilfældig mappe, klik på -> Funktioner-> Mappeindstillinger-> Vis.
Fjern flueben ved ->"Skjul beskyttede operativsystemfiler".
Fjern flueben ved ->"Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Disse filer og/eller mapper slettes i fejlsikret tilstand, tryk f8 flere gange under opstart


Mapper:

Altnet
Windows Syncroad
Webrebates

Filer:

msbb.exe
mxazyzyb.exe
msupdate.exe



-------------------------------------------------------------------
Nu kører du Mwav.exe
-------------------------------------------------------------------
Genstart computeren i normal tilstand, og læg venligst en ny log ind til tjek :)

Det er ikke sikkert, at du kan finde alle filerne. Spybot kan have snuppet dem ;)

Tilføjelse ;)

Slettes-> GMT, mappen

Her kommer håndklædet - det kunne jeg ikke have klaret indenfor en uge eller to - så jeg havde bare sendt dig videre til nogen eksperter, jeg vidste, der kunne. Men nu ved jeg, hvem man kan kalde på i dette forum :^)

forever>> vil du fortælle mig, hvordan (og hvorfor) du finder følgende som "snavs"

1.) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1

2.) mxazyzyb.exe

3.) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM\aim.exe (file missing)

forever>> Hvilke udenlandske security-forums kan du anbefale?

Hej igen!
Super procedurebeskrivelse! Jeg gjorde nøjagtig som du foreslog. Her er den nye log:

Logfile of HijackThis v1.98.2
Scan saved at 15:25:25, on 23-10-2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\D-Link\Air Utility\AirCFG.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Program Files\Spyware\SpywareGuard\sgmain.exe
C:\Program Files\Spyware\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HJT\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://signon.stofanet.dk/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\Spyware\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpywareGuard.lnk = C:\Program Files\Spyware\SpywareGuard\sgmain.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

Der er point lige om hjørnet; Helt sikkert!
Kaspersky-spy-programmet fandt 3 Trojanere!
Jeg håber at Protoride og den første  Trojaner er væk for altid. Ingen tvivl om at pc'en havde godt af denne omgang

Nå da, det ser meget bedre ud :^)

Jeg tror dog også jeg ville slå følgende to ihjel, som efter min overbevisning nok følger med Kazaa, men ikke har indflydelse på funktionaliteten. Hva siger "forever"?

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

P2P Networking er ikke i sig selv "snavs", men det er en åben dør for alskens skidt og møg, så jeg kan kun anbefale at du afinstallerer det.

Jeg er rimeligt overbevist om, at også trojanerne er væk.

Jeg kan se, at du har to antivirus, det er ikke så heldigt, da de kan konflikte med hinanden. Jeg kan kun anbefale, at du afinstallerer det ene

Tak for point :)


Nu er din log ren, og der skal lige "ryddes op" i systemgendannelsen

Højreklik på Denne Computer på skrivebordet, vælg Egenskaber og fanebladet Systemgendannelse og sæt flueben i "deaktiver systemgendannelse". Klik ok og genstart.
Derefter aktiverer du systemgendannelsen igen

Lige et par links til sikker surf

http://www.eksperten.dk/artikler/144
http://www.eksperten.dk/artikler/254

Perfekt

Når jeg genstarter, popper der ikke advarselsvinduer op mere.. Det må da alt andet lige være et godt tegn! Jeg har slettet NOD32-antivirus og P2P-Networking som I foreslog. Hvis I har flere gode foreslag, så post endelig. Men ellers siger jeg mange tak for jeres kompetente hjælp. Point-fordelingen blev lidt skæv, men Newbie's clue var nok lidt mere udførligt end Hexya's!

Hvis du også lige tjekker de to links jeg har lagt, skulle der være en god chance for at du kan holde det værste skidt væk ;)

Hmm, jahh, nok en lidt skæv fordeling af point. Jeg smider lige et ? med lidt point til hexya ;)

Hexya-> Du kan lige tjekke her http://www.spywareinfo.com/~merijn/htlogtutorial.html . Det er så ikke altid nok, at bruge manualen. Når man har set mange logs, får man en "fornemmelse" for hvad der er snavs. Det kan selvfølgelig "smutte", men så må man jo bare gendanne. Jeg har ikke været ude for at skulle gøre det endnu, men det sker nok. Det gør det for alle, på et eller andet tidspunkt.

Mine yndlingsfora er Wilders Security Forums, Spywareinfo, og CastleCops :)

Jeg er rørt :~) Jeg havde jo ellers "kastet håndklædet", og mente dermed at have tilkendegivet, at det her var Forevers show.
Men jeg takker da for håndørerne - der er lige til en ispind :^) Og desuden er erfaring jo nærmest ubetalelig, så jeg har bare suget til mig.

Forever>> Må jeg lige have lov til at spørge om, hvad "Jeg smider lige et ? med point til Hexya" betyder?

Ok, jeg har knækket "koden" om spørgsmålet - det gav mig flere hovedbrud end at rense Taris puter :^)

Berig os andre, please! Hvad menes der?

tariboventola-> hexya var jo engageret i problemet hele vejen, så jeg tillod mig dele pointene imellem os, lidt anderledes. Håber ikke det gør noget

Guess what? Mr. Protoride is back this morning!
Jeg vil prøve grovfilen http://securityresponse.symantec.com/avcenter/venc/data/w32.protoride.worm.html - det ser ikke så svært ud igen, trods alt. Nu er der bare det, at jeg ikke har Symantec AntiVirus eller Norton AntiVirus. Hvilket antivirus program skal jeg kører istedet, som 100% også vil fjerne Protoride'n (som igen er blevet detected i MSUPDATE.exe-filen)?

Der er et "fix" til den her http://www.gdata.pl/eng/download/remover/ GDatas værktøjer plejer at være effektive.

Kør det i fejlsikret, med systemgendannelse slået fra

Hej igen :) Hvordan går det, er Protoride helt væk nu ?

Hov, glemte at skrive i går. Ja, den har ikke vist sig siden for 2 dage siden. Jeg tror Symantic-proceduren hjalp. Men Tak for hjælpen!!

Ok, så er den nok helt væk, ellers har du jo værktøjet i "baghånden" ;)

Nå, det var da hyggeligt, at jeg alligvel også kunne hjælp lidt :^)

forever>> Hva er nu "Karma" for noget nymodens hejs - eller det er måske en virus :O
Tak skal du ha' :^)

Karma er noget man kan "hævne sig" med, når man ikke kan få lov til at give point *G*. Jeg kan se at du har fået lidt farve. Det pynter *G*

Ja uha da, man skal åbenbart huske solcremen, og passe på man ikke bliver forbrændt af bar Karma, når man soler sig herinde :^P

Nu var du jo så venlig, at sætte en afsender på, men det er da ikke særlig smart, at det ikke sker automatisk. Der er en eller to mere, som har adlet mig, men det kunne nu have været meget hyggeligt, at se hvem det var - tari måske?

Den skala for, hvor solbrændt man bliver, må da være omvendt proportional. Så meget sol du har fået (i forhold til mig), og alligevel er du kun 3/4-neger :D

I virkeligheden er den lidt fjollet - eller er der noget jeg har overset :-?

Sikken en hyggelig, lille sludrekrog vi har fundet herinde, godt gemt af vejen i bunden af af en tung tråd *lol*

Jeg kan se, at der har været diskuteret voldsomt herinde, om karma. Især den med anonym karma, eller automatisk underskrift. Som jeg ser det, vil E ikke lave den automatiske underskrift, fordi den kan medføre hævnkarmaer (Hmm, nu kommer der forhåbentligt ikke andre ind, og vil diskutere det her ;o)). Jeg går ikke så meget op i det. Det er jo ligesom i "det virkelige liv", nogen syntes man er ok, andre syntes at man er det største fjols, der har sat sine fingre på et tastatur. Jep, et hyggeligt lille chatroom her ;)

:^Åååhh, hvor smukt.

Filmen/manuskriptet "Forever-log" afluttes i smukkeste stil med Credits rullende ned over lærredet, som regnvand på indersiden af sjælens spejl, mens den let melankolske titelmelodi "Forver And Ever" fylder rummet med en vis tristesse over, at det store epos trods alt har nået sit endeligt.

Det er muligt, den ikke vandt de fysik orienterede discipliner, tråd-længde og antal indlæg, men den bør få topkarakter for det kunstneriske indtryk.

Sikken finale. Det er jo umuligt at fortsætte tråden uden at ødelægge æstetiken.

*LOL*