Søg
Avatar billede jskmail Nybegynder
14. november 2004 - 20:07 Der er 52 kommentarer og
1 løsning

Virus igen og igen og igen

Jeg bliver ved med at være plaget trods det jeg næsten lige har været igennem et "sikkerhedscheck" hos eksperten.
Nu fik jeg brev fra TDC der truer med lukning af mit abonnement, fordi de siger jeg spreder spam eller hvad det nu var. Og hvad ved jeg lige om det - jeg er jo bare en almindelig bruger. Så nu har jeg fået en firewall og nyt virusprogram og vil gerne have checket mit log igennem.
Så jeg forhåbentlig slipper for sådan et ubehageligt brev.
Jeg har nu MCafee og Norman fra TDC og har også noget andet sikkerhedspakke installeret. Så jeg syntes jeg nu er beskyttet i hoved og.......eller....

Logfile of HijackThis v1.98.2
Scan saved at 20:08:36, on 14-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINNT\SYSTEM32\htenda.exe
C:\WINNT\system32\bomsvc32.exe
C:\WINNT\system32\mysaym.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\mysaym.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\MacOpener\MacName.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\PrintKey2000\Printkey2000.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Norman\Nvc\Bin\npfmsg2.exe
C:\PROGRA~1\Logitech\Video\FxSvr2.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijactthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\Run: [vDGDGvvsa dqdw] C:\WINNT\SYSTEM32\htenda.exe
O4 - HKLM\..\Run: [Bomsvc32] bomsvc32.exe
O4 - HKLM\..\Run: [Dontworry] mysaym.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\RunServices: [Bomsvc32] bomsvc32.exe
O4 - HKLM\..\RunServices: [Dontworry] mysaym.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKCU\..\Run: [Dontworry] mysaym.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede jskmail Nybegynder
14. november 2004 - 20:10 #1
UPS - jeg bliver helt utryg når jeg ser at der også er noget bankhalløjsa med i hijackthis - venligst berolig mig med at det er noget intetsigende noget..
Avatar billede johnstigers Seniormester
14. november 2004 - 20:20 #2
Det ER noget intetsigende noget! det der betyder noget ligger trygt og sikkert på din pc :)
Avatar billede johnstigers Seniormester
14. november 2004 - 20:21 #3
Vi lader lige en med mere erfaring i logs fra Win2000 tjekke den - ville gerne, men på det punkt har jeg ikke erfaring nok :)
Avatar billede tonnybrandt Nybegynder
14. november 2004 - 20:23 #4
Hmm.. jeg har da ikke noget imod at prøve *s*
Avatar billede jskmail Nybegynder
14. november 2004 - 20:24 #5
Pu ha, dejligt at det er noget intetsigende med det bankhalløjsa:0) jeg blev helt klam:0/
Avatar billede laikabee Nybegynder
14. november 2004 - 20:25 #6
Tænkte lige på det samme med hensyn til det med bank oplysningerne, jeg ved det ikke og kan heller ikke hjælpe dig med loggen.
Men her er nogle links til nogle programmer som du kan prøve at køre – hvis du ikke allerede har gjort det.
http://www.lavasoftusa.com/software/adaware/
http://www.emsisoft.com/en/software/free/
De har begge en gratis version og måske kan de finde kilden til din hovedpine.
Avatar billede laikabee Nybegynder
14. november 2004 - 20:28 #7
Ups – fik ikke lige opdateret siden før jeg sendte, så ikke at der allerede var nogle svar – sorry.
Avatar billede tonnybrandt Nybegynder
14. november 2004 - 20:30 #8
Det lader til at være en agobot virus.

Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [vDGDGvvsa dqdw] C:\WINNT\SYSTEM32\htenda.exe
O4 - HKLM\..\Run: [Bomsvc32] bomsvc32.exe
O4 - HKLM\..\Run: [Dontworry] mysaym.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Norton Auto-Protect] ffbaqe.exe
O4 - HKLM\..\RunServices: [Bomsvc32] bomsvc32.exe
O4 - HKLM\..\RunServices: [Dontworry] mysaym.exe
O4 - HKCU\..\Run: [Norton Auto-Protect] ffbaqe.exe
O4 - HKCU\..\Run: [Dontworry] mysaym.exe

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
C:\WINNT\SYSTEM32\htenda.exe
C:\WINNT\SYSTEM32\bomsvc32.exe
C:\WINNT\SYSTEM32\mysaym.exe
C:\WINNT\SYSTEM32\ffbaqe.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol
Avatar billede jskmail Nybegynder
14. november 2004 - 20:32 #9
Tak - jeg går igang - og ved jo det er en større operation.
Så det er ikke sikkert jeg når tilbage idag - men rolig....jeg kommer
tilbage:0)
Avatar billede tonnybrandt Nybegynder
14. november 2004 - 20:36 #10
Helt iorden :)
Avatar billede jskmail Nybegynder
14. november 2004 - 21:16 #11
Tilbage igen - Kaspersky havde kun kørt i 2 min da den kom og sagde at jeg skulle købe programmet for at få fjernet de her viraer: TrojanProxy og Backdoor.
Så jeg droppede at scanne helt igennem. Det var nu nok dumt.....
Men hvad pokker gør jeg for at komme af med de der to fyre????

Ny log:
Logfile of HijackThis v1.98.2
Scan saved at 21:20:23, on 14-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\System32\MsiExec.exe
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINNT\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\MacOpener\MacName.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\Hijactthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede tonnybrandt Nybegynder
14. november 2004 - 21:22 #12
Ok, det har jeg nu ikke hørt om før, men prøv så denne istedet:
http://www.fbeej.dk/programmer/sysclean.exe

Kør også den i fejlsikret tilstand.

Loggen er nu ren og virusscanningen er kun for at få fjernet det der ikke kan ses i loggen.

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm
Avatar billede jskmail Nybegynder
15. november 2004 - 06:26 #13
Så kørte jeg fbeej.dk - og prøvede herefter kaspersky igen.
Igen kom den frem og sagde:
Virus detected. You will need to buy escan in order to eliminate this virus from your computer - og igen er det Trojan Proxy og Backdoor.

Hvad pokker gør jeg nu?

Jeg har installeret dem du nævner - dog ikke IE-Spyad - den må jeg kigge på.
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 07:11 #14
Siger den noget om, hvor de vira befinder sig ?
Avatar billede jskmail Nybegynder
15. november 2004 - 20:58 #15
Disse tre ligger i c\wintt\system32 og filerne der er inficeret
hedder

ccservrt.exe
daemonman.exe
fk1fn.exe
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:13 #16
Du kan nemt slippe af med dem blot ved at slette dem i stifinderen og efterfølgende yømme papirkurven. Det er hurtigt overstået, hvis det ikke drejer sig om flere filer end de 3.
Prøv så en scanning bagefter i fejlsikret tilstand med kaspersky.
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:13 #17
yømme=tømme
Avatar billede jskmail Nybegynder
15. november 2004 - 21:18 #18
øh, jeg kan altså ikke se en mappe der hedder winnt på mit c-drev....
Avatar billede jskmail Nybegynder
15. november 2004 - 21:22 #19
nu søgte jeg og fandt daemon under documents and setting.
Den har jeg slettet -de andre fandt jeg ikke noget på.
Det er en sej nød den her:0)
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:29 #20
Ok, så prøver vi noget andet:

Marker teksten mellem de stiplede linier, højreklik markeringen og vælg kopier.
------------------
attrib -h -s -r c:\winnt\ccservrt.exe
attrib -h -s -r c:\winnt\fk1fn.exe

del c:\winnt\ccservrt.exe /f
del c:\winnt\fk1fn.exe /f
pause

------------------

Klik så start | kør, skriv cmd og tryk enter.
Højreklik så inde i det sort billede, og den skulle nu gerne køre kommandoerne.

Den vil ikke skrive noget hvis det lykkes, men komme med en fejlmeddelelse hvis den ikke kan finde filerne.
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:31 #21
Vent lige ... stien er da forkert.
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:32 #22
Her er de rigtige kommandoer:
------------------
attrib -h -s -r c:\winnt\system32\ccservrt.exe
attrib -h -s -r c:\winnt\system32\fk1fn.exe

del c:\winnt\system32\ccservrt.exe /f
del c:\winnt\system32fk1fn.exe /f
pause

------------------
Avatar billede jskmail Nybegynder
15. november 2004 - 21:48 #23
den skriver at filerne ikke kunne findes.
er det hele så ikke som det skal være?
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 21:54 #24
Jo der er det egentligt, men du skriver jo at filerne findes ???

Altså at Kaspersky finder dem, men ikke kan gøre noget ved dem.

Prøv lige at scanne igen, og hvis den finder dem igen, så kopier lige det den skriver herind. Altså ikke hele loggen, men der hvor den skriver at den har fundet virus, så jeg kan se præcis hvad den skriver og den præcise sti til de filer.
Avatar billede jskmail Nybegynder
15. november 2004 - 22:13 #25
Allerførst: Sorry, jeg fik ikke skrevet rigtigt af.

Her fra kaspersky:
File C:\WINNT\system32\CCSEVRT.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\daemonman.exe infected by "Backdoor.Win32.SdBot.te" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\fk1fn.exe infected by "TrojanProxy.Win32.Ranky.an" Virus. Action Taken: No Action Taken.

Og jeg har nu kørt CMD igen ud fra denne, som jeg selv lige rettede til.
Og nu skriver den heller ikke længere at den ikke kan finde dem.

----------------------
attrib -h -s -r C:\WINNT\system32\CCSEVRT.exe
attrib -h -s -r C:\WINNT\system32\fk1fn.exe
attrib -h -s -r C:\WINNT\system32\daemonman.exe

del c:\winnt\system32\CCSEVRT.exe /f
del c:\winnt\system32\fk1fn.exe /f
del c:\WINNT\system32\daemonman.exe
pause

-------------

Jeg er spændt på hvad jeg nu skal gøre....måske bliver det ikke idag, da det er ZZZzzz zz tid....jeg venter lige en 5.min. tid.
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 22:24 #26
Ok, det gav jo noget af forklaringen, med stavefejlen i den ene fil.

Jeg synes blot du skal køre scanningen og se om den kan finde flere, eller det var alt hvad der var.
Avatar billede jskmail Nybegynder
15. november 2004 - 22:26 #27
Okay, det gør jeg så i første omgang - Jeg sætter igang imens jeg ZZz  z z zz og mailer ind i morgen hvordan det gik med hele scanningen. Tak for idag:0)
Avatar billede tonnybrandt Nybegynder
15. november 2004 - 22:28 #28
Velbekomme og sov godt :)
Avatar billede jskmail Nybegynder
16. november 2004 - 10:19 #29
Så er Kaspersky kørt igennem i fejlsikret stand og der kom følgende ud af det:

File C:\Documents and Settings\jsk.JSK-3378.000\Local Settings\Temp\secure.bat infected by "Trojan.BAT.NoShare.ao" Virus. Action Taken: No Action Taken.

File C:\navupd.exe infected by "Backdoor.IRC.Upder" Virus. Action Taken: No Action Taken.

File C:\pv.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.

File C:\QUARANTINE\upd.exe.Vir infected by "Backdoor.IRC.Upder" Virus. Action Taken: No Action Taken.

File C:\WINNT\Temp\secure.bat infected by "Trojan.BAT.NoShare.ao" Virus. Action Taken: No Action Taken.

Hvad nu? Kigger først ind igen i aften (er på arbejde)
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 12:03 #30
Vi prøver samme metode igen:

----------------------
attrib -h -s -r "C:\Documents and Settings\jsk.JSK-3378.000\Local Settings\Temp\secure.bat"
attrib -h -s -r C:\pv.exe
attrib -h -s -r C:\navupd.exe
attrib -h -s -r C:\QUARANTINE\upd.exe.Vir
attrib -h -s -r C:\WINNT\Temp\secure.bat

del "C:\Documents and Settings\jsk.JSK-3378.000\Local Settings\Temp\secure.bat" /f
del C:\pv.exe  /f
del C:\navupd.exe  /f
del C:\QUARANTINE\upd.exe.Vir /f
del C:\WINNT\Temp\secure.bat  /f
pause
----------------------

Og til slut endnu en scanning for at kontrollere at de nu er væk.
Avatar billede laikabee Nybegynder
16. november 2004 - 13:45 #31
Hej
Lige en bemærkning uden for emnet.
Siden jeg i går skrev en kommentar på dette indlæg. Har jeg fået følgende mail tilsendt over
20 gang.

*** Annonce ***
Få et par vinterhandsker og vind en skirejse!

Er performance vigtig for din J2EE applikation?
Med Trifork P4 kan du profilere ethvert produktionsmiljø med ekstremt lavt overhead.
Afprøv Trifork P4 Profiler og deltag i konkurrencen.

Læs om konkurrencen og download P4 nu på http://www.cw.dk/ad.asp?AdID=3212

------------------------------------
Spørgsmål : Virus igen og igen og igen
Bruger : jskmail
Handling : Kommentar
Kategori : Sikkerhed :: Virus
Link : http://exp.dk/spm/561314
------------------------------------
Ønsker du ikke længere at abonnere på kategorien kan du vælge den fra via din konto side eller dette link:
http://exp.dk/afmeld.phtml?catid=95&key=41ae302e659160f35b0d9a910ddbe842

Venlig hilsen Eksperten

Vil du annoncere i Eksperten mails eller på www.eksperten.dk?
Kontakt: Peer Jensen, 77 300 221, p.jensen@idg.dk
----------

hmmm
Det kan da ikke være normalt når man kommenter på et indlæg?

v.h
laika
Avatar billede johnstigers Seniormester
16. november 2004 - 14:01 #32
Jo da - du får en mail når der kommer nyt indlæg. du har fået 23 mails kan jeg se :)

men du kan bruge http://www.eksperten.dk/konto.phtml?option=prefs - og sætte vinge i "Send kun én E-mail til mig, når der er indlæg jeg ikke har set i de spørgsmål, hvor jeg deltager." Så får du kun EEN mail til du næste gang logger ind på spørgmålet :)
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 14:11 #33
Og hvis du ikke vil have flere mails fra spørgsmålet, kan du blot fjerne vingen i Abonner nederst til venstre og trykke Send.

Som John siger, så er det helt normalt.
Avatar billede laikabee Nybegynder
16. november 2004 - 14:50 #34
ok, mange tak ;-)

v.h
laika
Avatar billede jskmail Nybegynder
16. november 2004 - 17:40 #35
Altså, nu må det snart holde op. Ikke mere end KasperSky lige er gået igang kommer den med

File C:\WINNT\system32\svhost.exe infected by "Backdoor.Win32.SdBot.gen" Virus. Action Taken: No Action Taken.

Så jeg stoppede og prøvede følgende i start/kør/CMD:

attrib -h -s -r C:\WINNT\system32\svhost.exe
del C:\WINNT\system32\svhost.exe /f
pause

Men den skriver adgang nægtet.

Hvad gør jeg nu? jeg skal nok køre hele scanningen igennem senere - men det er lidt nedslående når den efter 2 min. finder noget igen og her til morgen kørte scanningen knap to timer.....skal jeg gøre det mange gange, pu ha.....siger jeg bare.....
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 18:08 #36
Vent med at køre scanneren eller for søge at fjerne snavset.

Odater computeren på windowsupdate.
Hent alle kritiske opdateringer inklusive internet explorer 6.

Gør det indtil der ikke er flere kritiske opdateringer.

Kom så med en ny HiJackThis log bagefter.

Har du flere
Avatar billede jskmail Nybegynder
16. november 2004 - 18:34 #37
Ny log

Logfile of HijackThis v1.98.2
Scan saved at 18:38:12, on 16-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\System32\MsiExec.exe
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\MacOpener\MacName.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijactthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\RunServices: [Sys-Stat] wuapdxe.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede jskmail Nybegynder
16. november 2004 - 18:35 #38
UPS - jeg var lidt hurtig. Jeg hentede et par kritiske opdateringer forleden, så der var ikke rigtig mere at opdatere. Jeg har hentet explorer 6.0
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 19:10 #39
Ok, installer lige IE6, og opdater så igen på windowsupdate.
Og så en ny log.
Avatar billede jskmail Nybegynder
16. november 2004 - 21:45 #40
Ny log og nyt problem:

Jeg har en cookie liggende til bravenet, som jeg fjerner fra start - kør - regedit. Men jeg kan stadigvæk ikke komme ind (jeg har en couter hos bravenet).
Hvordan klarer jeg nu så jeg kan komme ind på bravenet og tilpasse mine indstillinger?

Logfile of HijackThis v1.98.2
Scan saved at 21:49:58, on 16-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\MacOpener\MacName.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINNT\system32\svhost.exe
C:\Program Files\Hijactthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede jskmail Nybegynder
16. november 2004 - 21:46 #41
for f.... - jeg glemte window update. Skal jeg lige køre denne?
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 21:55 #42
Ja, for der er opdateringer til Internet Explorer 6 sp1 på windowsupdate, så det skal du. Vi er nødt til at få den HELT opdateret, så vi ved at det ikke skyldes manglende opdatering at det snavs slipper ind.
Og ifølge HiJackThis er IE6 stadig ikke installeret.
Avatar billede jskmail Nybegynder
16. november 2004 - 21:58 #43
hmm, hmm, jeg har da lige igen hentet den IE - jeg må gøre noget forkert.
Jeg downloader filen og gør som der står i beskrivelsen.
Hvad gør jeg galt? Det er da den spywarepakke du har nævnt før ikke?
Sikke et virvar...beklager...men godt man kan hente hjælp hos tålmodige
mennesker:0)
PS. Er igang med at hente opdateringer.
Avatar billede tonnybrandt Nybegynder
16. november 2004 - 22:37 #44
Ok, når der ikke er flere kritiske opdateringer, vil din explorer være opdateret til version 6 sp1.
Du kan kontrollere det ved at klikke hjælp | om Internet Explorer.
Der står hvilken version du kører.

Og nej, Internet Explorer 6 har ikke noget med Pakken at gøre. Pakken beskytter mod Spyware, men hjælper ikke meget hvis styresystem og internet explorer er hullet som en si. Det er det vi skal have iorden nu. *s*
Avatar billede jskmail Nybegynder
17. november 2004 - 06:36 #45
Jeg havde installeret explorer 6.0 på den log jeg sendte ind i går og jeg havde checket det under hjælp at det var 6.0. Iøvrigt er den nu blevet på engelsk i menulinien.

Jeg troede det var en IE Spyad version 6 jeg skulle installere:0) Derfor skrev jeg om pakken. Ved godt at explorer og pakken intet har med hinanden at gøre.
Kommunikation kan til tider være en sjov ting:0)

Men nu er alle opdateringer hentet og her en ny log. Jeg kan se at der stadigvæk står explorer 5 øverst i loggen - det forstår jeg bare ikke........

Logfile of HijackThis v1.98.2
Scan saved at 06:36:32, on 17-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\system32\wuapdxe.exe
C:\WINNT\system32\svhost.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\WINNT\system32\ctfmon.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\WINNT\system32\wuapdxe.exe
C:\WINNT\system32\svhost.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\WINNT\system32\LVComS.exe
C:\Program Files\MacOpener\MacName.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Documents and Settings\jsk.JSK-3378.000\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede jskmail Nybegynder
17. november 2004 - 06:41 #46
PS. jeg kan komme ind på bravenet igen uden problemer. Så den er nu aflivet.
PS. Ha' en god dag.
Avatar billede tonnybrandt Nybegynder
17. november 2004 - 08:02 #47
Ja, misforståelser kan nemt ske *s*

Vi fjerner lige snavset og så må vi se om det kommer igen.

Genstart i fejsikret tilstand

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

O4 - HKLM\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] svhost.exe
O4 - HKLM\..\RunServices: [Sys-Stat] wuapdxe.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] svhost.exe
O4 - HKCU\..\Run: [Sys-Stat] wuapdxe.exe
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] svhost.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

---------------------------------------
Sletning af filer og mapper:
-------------------
Mapper:
<ingen>

Filer:
C:\WINNT\system32\wuapdxe.exe
C:\WINNT\system32\svhost.exe

Genstart normalt og kom med en ny log til kontrol
Avatar billede jskmail Nybegynder
17. november 2004 - 21:01 #48
Ny log (igen-igen):0)

Jeg fandt wuapdxe.exe og svhost.exe under
C:\
Documents and settings
og så i WINNT\system32

Jeg slettede alle tre steder - var det mon rigtigt?

Nu ber' jeg bare en stille bøn til at vi har fået alt væk.

Logfile of HijackThis v1.98.2
Scan saved at 21:01:32, on 17-11-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\EPOAgent\naimas32.exe
C:\NORMAN\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Nvc\Bin\Zanda.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\WINNT\Explorer.EXE
C:\EPOAgent\naimag32.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\MacOpener\MacName.exe
C:\NORMAN\Nvc\BIN\npfmsg2.exe
C:\WINNT\system32\LVComS.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\jsk.JSK-3378.000\Desktop\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hvidschafer.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NaimAgent_UI] C:\EPOAgent\naimag32.exe
O4 - HKLM\..\Run: [MacLicense] "C:\Program Files\MacOpener\MacLic.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: MacName.lnk = C:\Program Files\MacOpener\MacName.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://cgim.adobe.com
O15 - Trusted Zone: http://www.adobe.com
O15 - Trusted Zone: http://www.ami.dk
O15 - Trusted Zone: http://www.asc.amr.dk
O15 - Trusted Zone: http://www.arbejdstilsynet.dk
O15 - Trusted Zone: http://www.arbejdsulykker.dk
O15 - Trusted Zone: http://www.bar-web.dk
O15 - Trusted Zone: http://www.co-industri.dk
O15 - Trusted Zone: http://www.energistyrelsen.dk
O15 - Trusted Zone: http://www.osha.eu.int
O15 - Trusted Zone: http://www.kontor.at.dk
O15 - Trusted Zone: http://www.macromedia.com
O15 - Trusted Zone: http://www.miljo-kemi.dk
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00615BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1500ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00617BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp1700ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00620BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2000ib100.cab
O16 - DPF: {1A8790BD-AEBD-11BD-A2BD-00625BD00019} (stjydsk Banks Netbank) - https://www.oestjydskbank.dk/soestjydskibp2500ib100.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7AEBACC1-D7E4-4360-B520-6DA4C565B42C} (UploaderCtrl Class) - http://foto.tv2.dk/upload-classes/Uploader.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {ABCCB0F0-514E-4BA6-989D-C67E5DBC2946} - https://netbank.danskebank.dk/download/keydownload/DB/KeyDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pressalit.int
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pressalit.int
Avatar billede tonnybrandt Nybegynder
17. november 2004 - 22:14 #49
Ja det var rigtigt.

Og loggen er igen blevet ren.

Forhåbentlig forbliver den ren. Jeg fatter stadig ikke hvorfor den ikke vil skrive at det er en IE 6 med sp2 når du siger at du har opdateret den, men det må vel være en "bit" der står forkert et eller andet sted *s*
Avatar billede jskmail Nybegynder
18. november 2004 - 08:20 #50
Nej, jeg forstår det heller ikke med den IE.

Jeg kørte Kaspersky i aftes - den kørte en halv time uden problemer - så jeg var rigtig glad - meeeeeeen så kom den med en virus: setup.bat/trojan.bat.

Jeg lukkede derefter hele skidtet ned:0((

Skal vi lukke dette spørgsmål nu - så kører jeg en ny scanning en af dagene - og kommer der mere frem åbner jeg et nyt spørgsmål?
Avatar billede tonnybrandt Nybegynder
18. november 2004 - 08:45 #51
Jeg må indrømme at jeg ikke aner hvordan det snavs kommer ind. Din log er ren, du er opdateret og en mwavscanner kan komme igennem uden at finde noget og alligevel, så dumper det ind.
Jeg må overse et eller andet, så der er nok ikke store chancer for at jeg pludselig kan se "hullet". Så chancerne er nok større for en løsning, hvis du får friske øjne på i et nyt spørgsmål.
Avatar billede jskmail Nybegynder
18. november 2004 - 11:31 #52
Tak for hjælpen - vi har rundet mange ting og er kommet et rigtig godt stykke vej.
Avatar billede tonnybrandt Nybegynder
18. november 2004 - 17:22 #53
Velbekomme, og takker for point :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Vil skrifte antivirusprogram. Af ErikHg i Virus 22 26/11/202510:42 23/12/202514:29
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
07/0514:15 PHP Html Af Asky i Programmeringsværktøjer
07/0511:06 Rufus mange muligheder - valg ved install Windows Af Uvanga i Windows
06/0516:53 HTML Af Asky i Programmeringsværktøjer
06/0510:01 Mister internettet efter slumre, Af valby i Windows
05/0513:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
White papers
Flere white papers »