Virus ? sikkertm men hvad nu?

Kom med den hijackthis log, så ser vi hvad vi er oppe imod..

Logfile of HijackThis v1.99.0
Scan saved at 19:45:33, on 19-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SYSCFG16.EXE
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\xnfdb.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\winxpdll32.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Det gør jeg\Skrivebord\hijackthis.exe
Håber det er den. Du må bære lidt over - jeg aner ikke hvad det er jeg gør. Heller ikke om jeg burde have sat en prik i "Svar" hvis, så sorry.

Jeg mangler hele den nederste del af loggen. se et eksempel her: http://www.eksperten.dk/spm/572635

men helt rigtigt at lægge den som kommentar. Svar knappen bruger den, der svarer rigtigt på dit problem eller i dette tilfælde renser din log. Når der er givet et "svar" så kan du uddele point..

Men først en hel log

Logfile of HijackThis v1.99.0
Scan saved at 19:45:33, on 19-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SYSCFG16.EXE
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\xnfdb.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\winxpdll32.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Det gør jeg\Skrivebord\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NDk5ODI1OTg2&ver=2.1.0.0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmer\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Cera8gHY] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzîžigÝC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰üžiC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰üC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰¸C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰¸K0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ*ú]Mú*ÀaîC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ*ÀaîžaaøYC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ú]Mú*ÀaîžaC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winxpdll32.exe] C:\WINDOWS\system32\winxpdll32.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programmer\SideFind\sidefind.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmer\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Nu ved du hvorfor IT-tosse. første scan i fejlsikret tilstand kom med dette forslag Buy eScan, ellers kan fundne vira ikke fjernes ???

Føj for en log...

Forstår godt at du dårlig nok kan bruge dit internet

Går igang med at tjekke den nu

ØV, ØV, og atter. Kedelige ord fra 1 af de 3 som, på mig, virker som de aller mest kompetente.

*S*

Rolig vi skal nok få den på højkant igen...

Du skal hente Lspfix http://www.cexx.org/LSPFix.exe og trykke gem og lægge den på dit skrivebord. Du har noget snavs der når vi fjerner det måske ødelægger din netforbindelse. Hvis du mister internetforbindelsen når du fixer de ting jeg kommer med skal du kører det lspfix, starte det, klik til fuld skærm, markere I know what I am doing og klikke på finish, genstart og lav en ny logfil, som du smider herind.


Du skal nu til at i gang med at fixe:

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, luk hijackthis igen.
Dobbelttjek, så alt kommer med.


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://results.dashbar.com/search?c=27440&b=17862&t=0&ce=DI&m=NDk5ODI1OTg2&ver=2.1.0.0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com

O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Cera8gHY] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W}ïÁzîžigÝC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰üžiC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰üC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰¸C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰¸K0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ*ú]Mú*ÀaîC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ*ÀaîžaaøYC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ú]Mú*ÀaîžaC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe

O4 - HKCU\..\Run: [winxpdll32.exe] C:\WINDOWS\system32\winxpdll32.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programmer\SideFind\sidefind.dll (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll


--------------------------------------------------------------------

Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

--------------------------------------------------------------------

Find og slet manuelt i fejlsikret(f8 ved opstart):


C:\WINDOWS\SYSCFG16.EXE
C:\Programmer\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\xnfdb.exe
C:\WINDOWS\system32\winxpdll32.exe
C:\Program Files\Windows ControlAd<-hele mappen
C:\WINDOWS\xnfdb.exe
C:\Programmer\ISTsvc<-hele mappen


------------------------------------------------

Hent og kør ad-aware herfra: http://www.arlet.dk/spywarescanner.htm
scan hele computeren og slet alt hvad den finder

----------------------------------------------------------

(denne version af kaspersky scanneren fjerner det skidt den finder uden du skal købe programmet)
Hent og kør denne scanner fra Kaspersky : http://www.spywareinfo.dk/download/mwav.exe
Sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files
Og så trykker du på Scan Clean

----------------------------------------------------------

Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Det lyder som 14 dages arbejde for en IT-tosse... Nå jeg, går igang...

Har forsøgt at følge dine anvisninger slavisk. Men efter kaspersky scanning var der ikke noget der hed Scan Clean, hvad så... Ved scanning med ad-aware fik jeg et chock, vira: 299, 5 renamed, 61 deleted og 264 errors.

her er ny log - håber det er den rigtige og at den er hel.

Logfile of HijackThis v1.99.0
Scan saved at 22:05:24, on 19-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Kaspersky\mwavscan.com
C:\Kaspersky\kavss.exe
C:\Documents and Settings\Det gør jeg\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmer\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰üC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰¸K0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ú]Mú*ÀaîžaC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ÀaîžaaøY§C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmer\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Nu driller det. Maskinen smed mig helt af, genstartede af sig selv og jeg kunne ikke komme op nettet. Kom på ved hjælp af den der LSPFix-ting. Log ser nu sådan ud:

Logfile of HijackThis v1.99.0
Scan saved at 22:32:44, on 19-12-2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Det gør jeg\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programmer\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPHUPD05] C:\Programmer\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programmer\Fælles filer\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú"ü‰üC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú"ü‰¸K0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ú]Mú*ÀaîžaC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ÀaîžaaøY§C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programmer\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Jeg håber ikke det gør noget, at jeg blander mig, men denne her er altså rigtig svær at komme af med. Der skal lidt flere programmer end Ad-aware og hijackthis til.

Først skal du af med istmappen:

Følg vejledningen her: http://www.spywarefri.dk/hjtanv.htm (punkt 6). Fix disse med HijackThis:

O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔÁÔ]§ú" ü‰üC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K0Ô@ÔÁÔ]§ú" ü‰¸K0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [¢‰¸K09¿Ì*ú]Mú* ÀaîžaC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [¢‰¸K09¿Ì* ÀaîžaaøY §C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\xnfdb.exe




Disse programmer skal slettes i fejlsikret tilstand. Du genstarter og trykker F8 når Windows starter op.

Søg efter disse filer:

C:\WINDOWS\xnfdb.exe
C:\WINDOWS\SYSCFG16.EXE

Søg efter disse mapper:

C:\Programmer\ISTsvc


Genstart.

Du skal hente 3 programmer og lægge deres logs herind.

---------------------------------------------------------
Prøv at følge denne vejledning til og med punkt 4.
http://www.fbeej.dk/VX2Finder_manual.htm

http://www.spywareinfo.dk/download/VX2Finder.exe
Her kan du hente VX2finder.
--------------------------------------------------------


Hent og pak dette program ud på dit Skrivebord.

http://www.fbeej.dk/Programmer/FindItNT2KXP.zip

Kør "find.bat" - programmet laver en log, som du også skal lægge herind.
------------------------------------------------------------

Hent dette lille værktøj fra Option^explicit:

http://downloads.subratam.org/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind i dit næste svar.
-----------------------------------------------------------------

Så skulle vi gerne have navnene på de skadelige filer.

Åh... Nej, endnu 1 af de 3 siger ord. Jeg takker ydmygt og vil forsøge efter bedste evne, når jeg igen sidder for patienten. TAKKER endnu engang for deltagelsen.

Hvis du mener opgaven er uoverskuelig, eller du ikke føler at du kan finde ud af det, kan løsningen være at formatere. Så er du helt sikkert af med infektionen :O)

Giv os lige et praj, og fortæl hvad du vil.

andersenph - det lyder noget nemmere, særligt for sådan en som mig. Hvad indebærer det?

Maskinen er ganske ny og der er ikke meget i den der ikke kan undværes, men der er dog nogle programmer jeg nødigt vil undvære. Kan jeg evt. få lidt hjælp til at formatere, så jeg ikke dummer mig som efter noder.

http://www.hcma.dk/tips&tricks.htm#install_repair

Vælg L for formatter :O) i punkt 8

andersenph. Jeg vil prøve mig frem. Ender sikker med at formatere. Og Arlet er tilsyneladende ikke med mere. Så giv mig et svar - points er dine.

Jo, har kigget med efter andersenh lagde den vejledning..

Men da du skrev at du ville formater, så var der jo ikke så meget at gøre for os mere*S*

God jul

Jamen så lægger jeg et svar.

Arlet sig lige til hvis det ikke er i orden ikke *S*

Kunne ikke, med rimelighed, gøre andet. OK?

Ok og tak for det :O)