HijackThis igen

DOH og så loggen selvfølgelig :o)

Logfile of HijackThis v1.99.0
Scan saved at 18:17:01, on 17-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\CardReader2.0\OTiReader.exe
C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\CardReader2.0\CRBroadCasting.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Dell\Lokale indstillinger\Temporary Internet Files\Content.IE5\W16JW9MF\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://stofanet.dk/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CRBroadCasting] C:\Programmer\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [HPIJetSend] C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programmer\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.67/ecwplugins/ncs.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O23 - Service: AVG6 Service - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown - C:\Programmer\CardReader2.0\OTiReader.exe

Den er ren...

Få ejeren til at aktiver popupstopperen i sp2

ja det med popopperen burde jeg nok have vidst :o)

AVG kommer med meddelelse om en worm/dedler.2.al som jeg skal køre avg igen for at fjerne, men det har jeg lige gjort... hvorefter meddelelsen kommer igen.
er der andre veje der fører til rom?

Hej kox

Ja, prøv at se om denne scanner her ikke kan hjælpe dig:

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Genstart i fejlsikret tilstand (F8 i opstart). Klik på den fil du har hentet: mwav.exe Klik på unzip og det pakker sig ud i en mappe som det selv opretter på C:\Kasperskky – klik på OK.

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives  og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Når scanningen er færdig, og har slettet dine evt. virus.  Klik på Ok.  Klik på exit, klik på exit igen, hvis du ikke ønsker at købe programmet.

jamen hej aovergaard,
længe siden jeg har set nogen hjælp fra dig *G*

scanneren fra kaspersky fandt følgende:

File C:\Documents and Settings\All Users\Dokumenter\update32.exe infected by "DDoS.Win32.Boxed.w" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{652A233E-0F9D-4E25-A695-76D0CC050BA8}\RP347\A0044933.exe infected by "DDoS.Win32.Boxed.w" Virus. Action Taken: File Renamed.
File C:\WINDOWS\Downloaded Program Files\WinadX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinadX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.

jeg tror det var
File C:\System Volume Information\_restore{652A233E-0F9D-4E25-A695-76D0CC050BA8}\RP347\A0044933.exe infected by "DDoS.Win32.Boxed.w"
som avg også kom med en advarsel om, men det har den ikke gjort efter jeg slog systemgendannelsen fra og til igen... men den lurer stadig...

og jeg kan så se at siden at jeg nu har været så kvik at skrive navnet på den virus avg fandt her i tråden og den som kaspersky fandt ikke har samme navn... mon ikke man kan konkludere det ikke er den samme :o)
men den lå nogenlunde i samme sti som den første omend i ikke må hænge mig op på 652A233E-0F9D-4E25-A695-76D0CC050BA8}\RP347 :O)

Hej Kox

Ja, vi har jo selv frygtelig travlt i vores eget forum, så derfor er det desværre ikke så ofte jeg får kigget forbi herinde.

De filer som den scanner finder, ligger jo bla. i restore. Altså deaktiver din systemgendannelse, genstart, aktiver din systemgendannelse igen, så er de infektioner fra restore væk igen. Det kan jeg jo se at du har gjort, men prøv alligevel at gøre det igen.

Prøv så lige at scanne en gang til med den scanner. Skriv ned hvad den evt. finder og hvor det findes.

tror lige det var genstarten mellem slå systemgendannelsen fra og til der glippede, i sidste omgang fandt scanneren kun
File C:\WINDOWS\Downloaded Program Files\WinadX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken.
og den er vel ikke farlig??

uanset hvad så smid lige et lille svar så kan i tage endnu flere point fra mig :o)

Hej kox *S*

Jeg vil nu godt have dig til at søge og slette den fil der fra fejlsikeret tilstand. Den ser nu ikke for godt ud. C:\WINDOWS\Downloaded Program Files\WinadX.dll  Væk med den.

Har du fået pakken, eller skal jeg lægge den til dig i næste kommentar?

Og så har jeg lagt et svar denne gang, så du kan komme af med nogle af alle dine point ;o)

Jeg vil ønske dig en rigtig glædelig jul og et godt nytår.

C:\WINDOWS\Downloaded Program Files\WinadX.dll kunne jeg ikke finde, så mon ikke den er borte væk...
håber i begge havde en god aften igår og tak for hjælpen!
/kox

Hej kox

Velbekomme dig. Ja, skal vi ikke regne med at den er væk den sidste, når du ikke kan finde den. Jeg takker for point ;)