CWS - kan ikke komme af med den

Du kan prøve et komme med din log;)

ellers er der lidt læsestof og vejledning her > http://www.spywareinfo.com/~merijn/cwschronicles.html

Prøver...

Logfile of HijackThis v1.99.0
Scan saved at 22:58:12, on 13-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINDOWS\ping1w.exe
D:\Program Files\RAM Idle\RAM_XP.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
C:\Palm\HOTSYNC.EXE
D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
D:\WINDOWS\system32\usrbridg.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\rsvp.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\Binde.BINDE-L336UDQA5\Desktop\evt cd6\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\BINDE~1.BIN\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\BINDE~1.BIN\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - D:\Program Files\Popup Manager\PopupMgr_1.0.1.8P.dll
O2 - BHO: (no name) - {301ED50B-C18A-4E9F-BCA0-45CB251EC6A2} - D:\WINDOWS\system32\iejp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ping1w] D:\WINDOWS\ping1w.exe
O4 - HKLM\..\Run: [RAM Idle Professional] D:\Program Files\RAM Idle\RAM_XP.exe
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: HotSync Manager.LNK = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (WficaCtl Object) - http://www.eserver.com/downloads/citrix/plugins/activex/wfica.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07b79e5ef47f7841fa18/netzip/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O18 - Filter: text/html - {8CE2ADCE-9EB1-453C-8F85-8294810715CC} - D:\WINDOWS\system32\iejp.dll
O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll
O23 - Service: EpsonBidirectionalService - Unknown - D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service - Unknown - D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - D:\WINDOWS\system32\usrbridg.exe

Jeg kigger på det nu

tak, venter i spænding :-)

færdig om lidt.. slem log:o)

havde det nok på fornemmelsen :-(

Genstart i Fejlsikret tilstand (uden netværk) ved at taste F8 under opstart.

Kør HijackThis, scan og sæt et flueben ud for denne linie - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\BINDE~1.BIN\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOCUME~1\BINDE~1.BIN\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {301ED50B-C18A-4E9F-BCA0-45CB251EC6A2} - D:\WINDOWS\system32\iejp.dll
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ping1w] D:\WINDOWS\ping1w.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07b79e5ef47f7841fa18/netzip/RdxIE601.cab
O18 - Filter: text/html - {8CE2ADCE-9EB1-453C-8F85-8294810715CC} - D:\WINDOWS\system32\iejp.dll

Find og slet:

D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINDOWS\ping1w.exe 
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe


Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.


Hent FINDnFIX her:

http://downloads.subratam.org/FINDnFIX.exe

Dobbeltklik på filen - den vil installere sig på din computer i C:\FINDnFIX

Åben C:\FINDnFIX mappen - her finder du en mappe der hedder keys1 - og i denne ligger moveit.bat. Højreklik på Moveit.bat og vælg Rediger. Nu åbnes filen i Notesblok og der står "rem replace this entire line with your given command..." --- erstat denne tekst med

move %WinDir%\System32\LOG.DLL %SystemDrive%\junkxxx\LOG.DLL

I Notesblok klikker du nu på Gem og lukker Notesblok.

I mappen keys1 dobbeltklikker du nu på Fix.bat - computeren vil genstarte.

Når computeren genstarter - åben C:\FINDnFIX mappen og dobbeltklik på RESTORE.bat. Nu laves der en nu tekstfil, der hedder Log1.txt - kopier indholdet herind.

skal jeg ha stikket helt ud af mosem eller er det nok at vælge funktionen ved genstart

Linket til FINDnFIX.exe virker ikke, så prøver lige at finde den et andet sted

binde>> Du kan godt tage netværkstikket ud også

Kan ikke finde FINDnFIX.exe nogle steder, alle links fra google henviser til de samme to steder og der er ikke hul igennem til nogle af dem...

men prøver at lave de andre ændringer inden det bliver alt for sent :-)

Vender tilbage så hurtigt jeg kan.

Hej igen
Har rettet tingene med hijack og er nået til findnfix... men dn kunne jeg ikke finde så hvad nu (er på min bærbare, så har ikke genstartet den anden endnu)

to sekunder.. ser lige om jeg kan finde et download link

Der var ikke nogen! så vi må prøve noget andet... først slå systemgendannelse fra!

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Genstart i fejlsikret tilstand

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files


Genstart normalt og smid en ny log herind.

Er så nødt til at genstarte den anden med net understøttelse igen.
så derfor
genstart normal ???
hent software
genstart fejlsikker
kør mway
og ny hijack-log

korekt ?

korrekt

husk at slå systemgendannelse fra

længe siden det blev gjort, håbede jeg kunne fange den med CWShredder for snrt nogle timer siden..

hehe CWSShredder kan ikke lige fjerne det du har i din log... lidt hacking, virus og en irriterende dll fil og det sædvanlige:O)

Har haft de der CWS virating før og normalt forsvinder de med enten cwshredder eller SpyWareDoctor men ikke denne gang.
det er også helt sikkert at hvis computeren står tændt i længere tid så er der en besked fra Panda om at der er fanget en variant af den når jeg kommer tilbage til computeren... har da haft en virus og div spy-ware før, men lige nu er det flere gange om dagen jeg bliver ramt.

Men har lige købt mig en (trådløs) router med noget indbygget firewall... håber den (når jeg får fundet helt ud af hvordan den skal konfigureres) snupper de forsøg der måtte komme i fremtiden.

Hmm, ser ud til det godt kan tage et stykke tid inden den er færdig med at scanne...
Håber ikke jeg holder dig væk fra din seng.

PS: hvordan er jeg blevet ramt af disse djævle ?

Nej jeg skal ikke i seng foreløbigt:)

Det svært at sige hvordan du har fået den.. det mest typiske er at du har været på en snavset side:) men spyware får man også ved at installere programmer hvor spyware er gemt i.. og scanneren er langsom... men effektiv:) så lad den da endelig arbejde:)

Hej igen
mwav fandt ikke noget alvorligt :-)

skal jeg genstarte før jeg laver ny hijack-log ???

ja

så er jeg tilbage igen :-)

Logfile of HijackThis v1.99.0
Scan saved at 02:15:19, on 14-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
D:\WINDOWS\System32\nvsvc32.exe
C:\Palm\HOTSYNC.EXE
D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\devldr32.exe
D:\WINDOWS\system32\usrbridg.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
D:\Documents and Settings\Binde.BINDE-L336UDQA5\Desktop\evt cd6\hijackthis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - D:\Program Files\Popup Manager\PopupMgr_1.0.1.8P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "D:\Program Files\mwav\mwavscan.com" /s
O4 - Startup: HotSync Manager.LNK = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (WficaCtl Object) - http://www.eserver.com/downloads/citrix/plugins/activex/wfica.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll
O23 - Service: EpsonBidirectionalService - Unknown - D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service - Unknown - D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - D:\WINDOWS\system32\usrbridg.exe

hmm.. ja vi kan ikke rigtig gå ind og ændre på log.dll
Der skulle selvfølgelig være noget som ikke gider forsvinde.. det var det vi skulle bruge findnfix til..

Jeg ved ikke om man kan overhovedet eller om man burde, men en ren log.dll kan downloades her

http://www.dlldump.com/download-dll-files.php/dllfiles/L/log.dll/download.html

så det op til dig om du vil forsøge dig med at finde mappen

D:\WINDOWS\System32\ og kopirer den derind og dermed erstatte den som er der i forvejen.

genstart.. slå systemgendannelse til.. genstart igen og en ny log..

men må indrømme jeg er blank på det uden findnfix

Tak for hjælpen forløbig :-)

hvad gør log.dll og hvad referere den til ?

har lige været inde omkring "min" spille-side (som bruger microsoft WM) og den virker igen og dejlige google.dk er tilbage som startside :-)

Så noget er gjort rigtigt

Vi fik skam også fjernet en del.. angående log.dll så ved jeg ikke rigtig noget om den.. vil ikke mene den er en del af windows, men tør heller ikke bare slette den derfor jeg hellere vil prøve at erstatte den. Men det ligner at den godt kan være skyld i at din log bliver snavset igen.

Jeg er dog glad for det har hjulpet på problemet

Siger også mange tak :-)

Skal bruge et svar så du kan få point.

håber ikke jeg bliver ramt alt for hurtig igen :-I

Er loggen (hvis jeg ikke installerer nye ting) et udtryk for at jeg bare kan slette det som er "nyt" i forhold til den sidste jeg har postet her ?

Sådan kan man desværre ikke se på det:)
men håber da den holder lidt længere
kig på de her http://www.spywarefri.dk/pakken.htm

en god løsning som gør det lidt sværre at blive ramt af snavs.

det irritere mig dog stadig det med findNfix ! ville være meget bedre lige at få den sidste linje med

har prøvet at lave en tråd hvor jeg søger den. Kan se at fromsej kalder linjen for "den store synder" i en meget lignende tråd på spywarefri.dk

men nu er det snart sengetid, så det må blive i morgen

Igen tak for hjælpen :-)

hehe well så må du være enig med mig i den skal væk:) men håber der er en som ligger inde med værktøjet!

men det var ellers en fin log at kigge på:) Du må sove godt når du kommer så langt:)

hej igen

har fået FINDnFIX men tør næsten ikke noget uden backup :-)

Du skal slet ikke bruge findnfix.

Fix disse 2 linier i HiJackThis, så er du færdig:

O4 - HKLM\..\Run: [mwavscan] "D:\Program Files\mwav\mwavscan.com" /s
O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll

Genstart i fejlsikret tilstand og slet: D:\WINDOWS\System32\log.dll

Efter en genstart, skal du blot kontrollere at begge linier nu også ER væk fra loggen.

ok stoler på dig :-)
prøver og vender tilbage med en ny log

hej igen

Kan ikke finde log.dll efter genstart, hijack lister den og skriver også at den bliver fjernet, men når jeg leder efter den for at slette den kan jeg ikke finde den

kan den være andre steder end D:\WINDOWS\System32 ???

Har ikke noget på comp (hvis jeg søger) der hedder log.dll

har
eventlog.dll
msdtclog.dll
txflog.dll
WMDMLOG.dll
i system32
og de samme plus iscomlog.dll
i servicepackfiles/i386

så har jeg 2 gange WMDMLOG.dll i registeredPackages +en masse tal

og sidste en fil som hedder Ilog.dll

Hjælp :-)

ligger der et prog som "skaber" den et eller andet sted ???

Har du fixet den med hijackthis? for hijackthis prøver jo at slette filen og så er det nok gjort.. og ellers skal du åbne en hvilken som helst mappe og vælge Funktioner.. mappe indstillinger.. vis.. vis skjult filer og mapper.

hej igen
fixer med hijack
men den vender tilbage efter genstart OG jeg kan ikke finde den i D:\WINDOWS\System32
hverken i fejlsikret eller ikke sikret. kan heller ikke finde den med en søgning.
(mappeindstillinger er "vis alle")

binde>> Jeg vil lade TonyBrandt fjerne den for ikke at ødelægge systemet.. men ellers har jeg sådan set skrevet hvad du skal gøre med findNfix

forresten du skal ikke slettte Ilog.dll det ikke spyware eller virus

når jeg kører FINDnFIX har jeg ikke den fil som hedder moveit.bat

Du skal lige i hovedmappen kører filen !LOG!.bat ... og så kan du ligeså godt kopirer den log der genereres her ind.. hedder Log.txt
så kan vi se på den

»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»
--The directory 'junkxxx' is now included as a Subfolder in the FINDnfix folder
and is the destination for the file to be moved..
-*Previous directions will no longer work...
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [Version 5.1.2600]
»»»IE build and last SP(s)
6.0.2900.2180 SP2
The type of the file system is FAT32.
D: is not dirty.

14-01-2005
  8:04pm  up 0 days,  1:17

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
*For *Helpers/Mods and/or users that are not familiar with any of the
items on the scan results- I recommend using an alternative, once
you know what to look for!
»»»»»»»»»»»»»»»»»»***LOG!***(*modified 7/12)»»»»»»»»»»»»»»»»

»»»*»»»*Boards that are not personally authorised by me are not allowed to use this fix!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

One or more CON code pages invalid for given keyboard code
D:\WINDOWS\System32\LOG.DLL +++ File read error
\\?\D:\WINDOWS\System32\LOG.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File D:\FINDnFIX\LIST.TXT
LOG.DLL      Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File D:\WINDOWS\SYSTEM32\DLLXXX.TXT
¯ Access denied ® ..................... LOG.DLL      .....57344  23.06.2004 

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 504

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ    D:\\WINDOWS\\System32\\log.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs = D:\WINDOWS\System32\log.dll
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read            BUILTIN\Users
(IO)    ALLOW  Read            BUILTIN\Users
(NI)    ALLOW  Read            BUILTIN\Power Users
(IO)    ALLOW  Read            BUILTIN\Power Users
(NI)    ALLOW  Full access     BUILTIN\Administrators
(IO)    ALLOW  Full access     BUILTIN\Administrators
(NI)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access     BUILTIN\Administrators
(IO)    ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Users
Read              BUILTIN\Power Users
Full access      BUILTIN\Administrators
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group BINDE-L336UDQA5\None.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.
User is a member of group \LOCAL.


»»»»»»Backups created...»»»»»»
  8:06pm  up 0 days,  1:18
14-01-2005

A          D:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 01-14-2005 keyback.hiv
A          D:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        317 01-14-2005 winkey.reg

D:\FINDNFIX\
  JUNKXXX        Fri Jan 14 2005  8:04:42p  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                        ?                                     
00001190:                                    vk  8            f AppInit_
000011D0:DLLs  G    D : \ W I N D O W S \ S y s t e m 3 2 \ l o g . d l
00001210:l  c a            vk      P          UDeviceNotSelectedTimeout
00001250:    1 5    @      9 0      |    vk      '        zGDIProce
00001290:ssHandleQuota"      vk                  Spooler2    y e s    n 
000012D0:            p              vk                =pswapdisk    vk 
00001310:    `        R TransmissionRetryTimeout            p         
00001350:    X      vk      '        m USERProcessHandleQuota, x     
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                                               

---------- WIN.TXT
fùAppInit_DLLs֍æGÀÿÿÿD
--------------
--------------
D:\WINDOWS\System32\log.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="D:\\WINDOWS\\System32\\log.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 56 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "D:\WINDOWS\System32\log.dll"
0000    44 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00  |  D.:.\.W.I.N.D.O.
0010    57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00  |  W.S.\.S.y.s.t.e.
0020    6d 00 33 00 32 00 5c 00 6c 00 6f 00 67 00 2e 00  |  m.3.2.\.l.o.g...
0030    64 00 6c 00 6c 00 00 00                          |  d.l.l...


Download killbox her:
http://downloads.subratam.org/KillBox.zip

Udpak filen til en folder, og dobbeltklik killbox.exe.
Kopier denne tekst ind der hvor der står "Full Path of File to Delete".

d:\windows\system32\log.dll

Sæt et hak i "delete on Reboot" og tryk på det røde kryds.

Sig ja når den spørger om du vil "reboote now"

Når du har genstartet kører du HiJackThis og fixer denne linie:

O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll

Genstart igen og kom med en ny HiJackThis log

Virker ikke :-(

killbox skriver "pendingFileRenameOperations Registry data has been removed by external process"

hvis jeg beder den om bare at slette svarer den at filen tilsyneladende ikke findes.

men når jeg kører hijack viser den den stadig...

Logfile of HijackThis v1.99.0
Scan saved at 00:19:56, on 16-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Palm\HOTSYNC.EXE
D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
D:\WINDOWS\system32\devldr32.exe
D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\usrbridg.exe
D:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
D:\Documents and Settings\Binde.BINDE-L336UDQA5\Desktop\evt cd6\hijackthis.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\spoolsv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - D:\Program Files\Popup Manager\PopupMgr_1.0.1.8P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "D:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [EPSON Stylus CX3200] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Startup: HotSync Manager.LNK = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (WficaCtl Object) - http://www.eserver.com/downloads/citrix/plugins/activex/wfica.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4313/mcfscan.cab
O16 - DPF: {F6A56D95-A3A3-11D2-AC26-400000058481} (Danske e-Sec) - https://netbank.danskebank.dk/html/activex/danskesikker/DB/DanskeSikker.cab
O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll
O23 - Service: EpsonBidirectionalService - Unknown - D:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - D:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service - Unknown - D:\Program Files\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - D:\WINDOWS\system32\usrbridg.exe

prøv at fikse den i hijackthis en gang til så.. bare for at tjekke om

har jeg lige prøvet, den bliver ved med at komme tilbage.
faktisk har jerg lige opdaget at selvom jeg beder hijack om at fixe den, så er den ikke væk hvis jeg laver et scan igen lige bagefter.

prøv at kører killboks i fejlsikret tilstand

Er prøvet, får stadig samme besked "pendingFileRenameOperations Registry data has been removed by external process".

Har hentet FINDnFIX men mangler stadig filen moveit.bat men hvis du kopierer indholdet (fra notebook) herind, kan jeg vel selv gemme det som en .bat fil.

er ved at være temmelig træt af den linie...

spekulere også på om jeg skal bede KillBox om "replace on reboot" med den fil vi hentede den anden dag...

Det kan sgu godt være den vi hentede forleden dag bare en den samme hehe:)
Jeg tror bare du skal give TonnyBrandt lov til at komme med et andet forslag til hvordan man fjerner den for det er da noget af en stædig fil(jeg har ikke den der bat fil.. downloade samme sted fra dig men mangler den også).

kalp > jeg er helt enig i at det er godt nok en genstridig karl. Det er altså ikke normalt at det skal være så besværligt.

Det er blevet en meget lang tråd, og det er svært at overskue nu, hvad der er blevet forsøgt.
Jeg har været ude at kigge lidt og må nok indrømme at findnfix SKAL bruges for at fjerne snavset. Jeg har derfor downloadet den, for at kigge nærmere på hvad det er den præcis gør, og forstår forvirringen omkring hvorfor moveit.bat ikke er i filen. Det viser sig at det ikke er den rigtige version. Den rigtige version er omkring 900 kb stor og denne er omkring 700 kb. Så derfor passer infoen omkring hvordan du skal bruge programmet ikke sammen med selve programmet. Det er åbenbart en ældre version af programmet.

Men vi må jo prøve om den kan bruges alligevel, så jeg kommer lige med lidt anvisninger.

Åben C:\FINDnFIX mappen

I mappen keys1 dobbeltklikker du nu på Fix.bat - computeren vil genstarte.

Når computeren er genstartet åbner du stifinderen og finder D:\WINDOWS\System32\log.dll, højreklikker den og vælger "klip", herefter finder du findnfix mappen, og går ind i junkxxx mappen og vælger sæt ind.
Obs ! Det er vigtigt at du "klipper" og ikke "kopierer" !!


Gå så tilbage til FINDnFIX mappen og dobbeltklik på RESTORE.bat. Nu laves der en nu tekstfil, der hedder Log1.txt - kopier indholdet herind.

tonnybrandt>> Jeg er da glad for jeg for en gangs skyld havde ret hehe:)

kalp > Det måtte jo ske på et eller andet tidspunkt *G*

Binde > Jeg skrev forkert her ovenfor. FINDnFIX mappen ligger selvfølgelig på D: og ikke C:
Ellers er indlægget ok.

ok, prøver i morgen tidlig.
er lige mødt på arb så ser om jeg kan ta livet af den i de tidlige morgen-timer :-)

krydser fingre og håber een af jer er her...

Har prøvet at køre fix.bat og efter genstart har jeg STADIG ikke log.dll i system32 folderen MEN til gengæld afslørede en hurtig søgning af der i en mappe ved navn D:\WINDOWS\System32\usmt befinder sig en fil med samme navn...
er ikke sikker men mener ikke den var der sidst jeg søgte... (dog står den som oprettet den 4 aug 2004)

spørgsmålet er så om det er den jeg leder efter eller on den hører til noget andet ???

Hmm, ser ud til at det er en XP pro ting "for better migrating on diff platforms..." eller sådan noget.
øv, troede lige jeg endelig havde "set" filen, kan stadig ikke finde den i system32 mappen.

Prøv lige at klikke start | kør, skriv cmd og tryk enter.

Skriv disse linier en efter en og tryk enter.

attrib -h -s -r D:\WINDOWS\System32\log.dll
move D:\WINDOWS\System32\log.dll d:\junkxxx\LOG.DLL

Fortæl hvordan det gik, altså om filen kunne ses og om den blev flyttet.

Svarede til den første linie "File not found"

og til anden linie "System cannot fin the file specified"

binde: Det følgende skal du ikke gøre før tonnybrandt og/eller kalp har godkendt det. De er nok efterhånden bedre inde i problemet end jeg.

Hvis ovenstående stadig ikke virker: Et foreslag til at komme videre.
Genstart i fejlsikret (tryk på <F8> under opstarten).
Start Regedit ved at klikke på Start-kør og skriv Regedit.exe
Klik Filer-Eksporter og gem (for en sikkerhedsskyld) en backup af registreringen på skrivebordet.
Klik på Rediger-søg og søg efter d:\windows\system32\log.dll, og slet alle de entries som du finder
Luk regedit ned, og prøv igen (som beskrevet ovenfor) at slette d:\windows\system32\log.dll
Kør derefter Hijackthis igen og fix følgende entries:
O20 - AppInit_DLLs: D:\WINDOWS\System32\log.dll

Hmm.. vi prøver lige en enkelt ting:

Hent dette værktøj og pak det ud.
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip
Kør programmet. (computeren vil genstarte)

Bagefter kører du igen !LOG!.bat i findnfix mappen og kopierer log.txt herind.
Det lader til at være den eneste måde hvorpå vi kan se om filen er væk eller ej.

Du er velkommen til også at afprøve ejvindh's forslag.
Det er i værste fald uskadeligt, og jeg tvivler på at det vil hjælpe lige præcis i dette tilfælde, men alle forslag skal afprøves.

Den er godt nok styg :(

hej igen
prøvede fixagent og den fandt ikke noget MEN se lige den her log fra FINDnFIX


»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»
--The directory 'junkxxx' is now included as a Subfolder in the FINDnfix folder
and is the destination for the file to be moved..
-*Previous directions will no longer work...
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [Version 5.1.2600]
»»»IE build and last SP(s)
6.0.2900.2180 SP2
The type of the file system is FAT32.
D: is not dirty.

17-01-2005
12:51am  up 0 days,  4:01

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
*For *Helpers/Mods and/or users that are not familiar with any of the
items on the scan results- I recommend using an alternative, once
you know what to look for!
»»»»»»»»»»»»»»»»»»***LOG!***(*modified 7/12)»»»»»»»»»»»»»»»»

»»»*»»»*Boards that are not personally authorised by me are not allowed to use this fix!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

One or more CON code pages invalid for given keyboard code

»»»»» (*2*) »»»»»........
**File D:\FINDnFIX\LIST.TXT

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File D:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 52

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs =

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW  Read            BUILTIN\Users
(ID-IO) ALLOW  Read            BUILTIN\Users
(ID-NI) ALLOW  QWCEN-DS--      BUILTIN\Power Users
(ID-IO) ALLOW  QWCEN-DS--      BUILTIN\Power Users
(ID-NI) ALLOW  Full access     BUILTIN\Administrators
(ID-IO) ALLOW  Full access     BUILTIN\Administrators
(ID-NI) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-IO) ALLOW  Full access     NT AUTHORITY\SYSTEM
(ID-NI) ALLOW  Full access     BINDE-L336UDQA5\Binde
(ID-IO) ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Users
QWCEN-DS--        BUILTIN\Power Users
Full access      BUILTIN\Administrators
Full access      NT AUTHORITY\SYSTEM
Full access      BINDE-L336UDQA5\Binde


»»Member of...: (Admin logon required!)
User is a member of group BINDE-L336UDQA5\None.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.
User is a member of group \LOCAL.


»»»»»»Backups created...»»»»»»
12:55am  up 0 days,  4:04
17-01-2005

A          D:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 01-17-2005 keyback.hiv
A          D:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        108 01-17-2005 winkey.reg

D:\FINDNFIX\
  JUNKXXX        Mon Jan 17 2005  12:51:34p  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                      $ ?              C  2 CF  2?           
00001190:                        C  2 CF  2?                C  2 CF  2?
000011D0:            vk                S AppInit_DLLsm 3               
00001210:                                                               
00001250:                                                               
00001290:                                                               
000012D0:                                                               
00001310:                                                               
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                                               

---------- WIN.TXT
AppInit_DLLsm
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000    00 00                                            |  ..


har lige haft genstartet og kørt en hijack

OG LINJE 20 ER VÆK ikke mere log.dll i den :-)

Nå, det var jo godt. Så behøver jeg jo ikke begynde at henvise til denne tyske side, hvor problemet også blev løst uden moveit.bat:
http://www.informationsarchiv.net/foren/beitrag-12735.html

Bare af nysgerrighed: Fik du prøvet mit tidligere forslag, eller forsvandt det bare "af sig selv"?

Øv, det er selvfølgelig fint at den nu er væk, men det er lidt træls ikke at vide præcis, hvad der fik has på den.

Tillykke med en ren log :)

ejvindh: lavede backup og bladrede igennem med regedit for at se om jeg kunne finde den specifikke fil, men det kunne jeg ikke, så slettede min backup, genstartede og kørte FINDnFIX...

Ved ikke hvad der skete, men nu krydser jeg fingre og håber den ikke bare hviler sig og vender tilbage med fornyet styrke en af de nærmeste dage :-)

Tony: Skal også ha givet dig nogle point.

Skidt med point. Dette var for udfordringens skyld *s*