Inficeret med TROJ_AGENT.jr - hvad gør jeg?

Måske skulle mine points afspejle hvor meget jeg vil værdsætte en løsning - forhøjer fra 30 til 200.

I første omgang:
Følg denne anvisning her punkt 1-4 og kopier resultatet herind:
http://www.spywarefri.dk/hjtanv.htm

(Det er ikke nødvendigvis mig der følger op på den - er lidt arbejdsramt...)----

Evt. imellemtiden:

Adaware:
http://www.spywarefri.dk/vaerktoj.htm#adaware

Spybot:
http://www.spywarefri.dk/vaerktoj.htm#spybot

*GG*
Du skal først gøre som majsmarken skriver i sin sidste kommentar. Installer og kør Spybot og Ad-Aware, opdater online, scan, sæt flueben i de ting programmerne finder og afhjælp de valgte problemer, genstart.

Dernæst skal du gøre som han skriver i sin første kommentar. Opret en ny mappe på skrivebordet og læg HijackThis-filen i den (programmet skal køres inde fra mappen). Kør HijackThis, scan, gem loggen og kopier HELE indholdet af den herind, så kigger jeg på den. Lad være med at slette noget selv med Hijackthis - det kan skade mere end det gavner.

OK

Jeg har i øvrigt været inde på http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.JR og følge anvisningen, men en scanning viser ingen inficerede filer, så det har jeg ikke kunne komme videre med.

Altså - for at skære det ud i pap:

Jeg har downloadet spybot S&D, og er i gang med at scanne og fjerne "problemer"

Herefter vil jeg køre HiJack og sende en logfil hering - men hvad er det du siger med AdWare - hvad skal jeg gøre med Ad-ware?

Har nu kørt spybot S&D og fixed problemer. Før jeg genstarter og bruger HiJackThis, skal jeg da også bruge AdWare?

Ahh - AdWare fjerner sikkert bare "pop-up-reklamer" som S&D måske ikke finder. Godt så - kører AdWare, og smider en log fra HiJack op om 3 min

Altså - hvis det lykkes jer at fjerne det her bras, vil I komme med i min aftenbøn i LANG tid fremover!!!

Bare rolig - det ska' nok lykkedes - <victor-1> er "The Man" (bland flere...)

Kørte Spybot S&D, fixede problemer, genstartede, kørte HiJackThis, og viser herunder logfile. Da jeg startede iExplorer for at skrive dette indlæg, var der stadig den elendige opstartsside og virus-advarsler...

Logfile of HijackThis v1.99.0
Scan saved at 08:07:29, on 19-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\System32\msiexec.exe
C:\OfficeScan NT\PCCNTMON.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Distillr\acrotray.exe
C:\Documents and Settings\marm\Local Settings\Temp\temp.fr0AF6\Weatherscope.exe
C:\Documents and Settings\marm\Desktop\HiJackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by RAMBOLL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C547B86-675D-3A79-5648-2D3DF951F175} - C:\WINDOWS\syspx32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Bginfo] c:\windows\ramboll\bginfo /timer:00
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [XpUpdate] \\cher\image_update\update.cmd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [13DE.tmp] C:\DOCUME~1\marm\LOCALS~1\Temp\13DE.tmp.exe 2 10001
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O4 - Global Startup: Weatherscope.lnk = C:\Documents and Settings\marm\Local Settings\Temp\temp.fr0AF6\Weatherscope.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm41442DK
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://vip.ramboll.dk/intranet/start.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://sps01.ramboll.dk/Start/Portal/resources/msddsc.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://cowi.kortal.dk/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O17 - HKLM\Software\..\Telephony: DomainName = ramboll.ramboll-group.global.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterPlot IMF Printer Driver Service - Unknown - C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: OfficeScanNT Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\sdkof.exe (file missing)

Jeg sparker lige mit input på føljetonen her. Håber ikke det gør noget....

Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware
Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware
Følg også vejledningen her til udvidet søgning: http://www.spywarefri.dk/tipsogtricks.htm#adaware

Sæt lige de indstillinger korrekt, så det er klar til brug senere.

Hent og opdater CWShredder:  http://danborg.org/spy/CWS/cwshredder.exe


Hent dette clear reg prg. som er en free for 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Lad de tre programmer ligge lidt endnu, du skal bruge dem længere nede.
 


Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.
http://www.spywarefri.dk/virusscannere.htm#alle


Kør nu det clear reg Supreme prg. som du har hentet, og slet alt hvad den finder.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.



Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bqofa.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0C547B86-675D-3A79-5648-2D3DF951F175} - C:\WINDOWS\syspx32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [13DE.tmp] C:\DOCUME~1\marm\LOCALS~1\Temp\13DE.tmp.exe 2 10001
O4 - Global Startup: Weatherscope.lnk = C:\Documents and Settings\marm\Local Settings\Temp\temp.fr0AF6\Weatherscope.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm41442DK
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\sdkof.exe (file missing)


For at kunne se alle filer og mapper, så følg denne vejledning:

Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Find og slet:

C:\WINDOWS\bqofa.dll
C:\WINDOWS\syspx32.dll
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\sdkof.exe

C:\DOCUME~1\marm\LOCALS~1\Temp (Tøm din Temp mappe og tøm din papirkurv bagefter)



Og så skal du køre programmet CWS
Angående CWShredder:
.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du finder måske slet ikke noget med homeoldsp og about blank, men søg lige efter det alligevel.

Kør så programmet Ad-aware, fjern alt hvad den finder.

Genstart Normalt

Download og kør denne engangscanner: http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files
Og så trykker du på Scan Clean
Den skanner nu, og dette kan godt tage et par timer.

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.

Øhh. Hvad så med det jeg allerede har gjort - var det bare spild af tid? Er din metode en bedre metode, eller kan du ud fra min lofgil se, at det er det der skal gøres?
Skal victor-1 ikke først kikke på min log-fil før jeg gør mere?

Jeg har kigget på din log fil og det er en naturlig fortsættelse af det de andre har sagt at du skal gøre, jeg hjælper bare lidt til.

Du har bestemt ikke spildt din tis :O)

tid sorry *LOL*

Ok - så vender jeg tilbage sen eftermiddag, skal bruge den til at arbejde på i dag.

I øvrigt tak for rimelig udførlig vejledning!!!

martin_moth > du kan være helt rolig med den hjælp andersenph gi'r dig.
Skulle han ikke stå på spring når den næste log kommer, skal jeg nok kigge på den  ;-)

Ja ja - blev bare forvirret :-) Går i gang om 1 times tid

Ok, det er lige med at få tiden til alt ovenstående...

2 spørgsmål:

1. Kan jeg "dele det op", så jeg først følger fremgangsmåden indtil enggangsscanneren skal køres, derefter arbejder en dags tid, og så kører engangsscanneren? Eller skal det gøres i een omgang?

2. Jeg kan sgu ikke logge på PC'en i fejlsikret tilstand (denne computer), da den vil have et domæne. Hvordan kommer jeg til at kunne logge på PC'en uden samtidig at logge på et net? Jeg har adm. rettigheder til PC'en

1. Du kan godt vente med at scanne til senere. Resten skal gøres i en omgang.

2. Du burde have muligheden for at starte i fejlsikret uden net. Det plejer at være en valgmulighed. Vælg uden net.

Har løst sp. 2

Har nu gjort ALT frem til engangsscanneren, som jeg ikke har kørt.

Jeg kunne ikke finde alle de ting på din liste i regdatabasen, men de fleste. Desuden fandtes c:\windows\sdkof.exe ikke på min PC.

Så nu kan jeg arbejde, og når jeg går hjem sætte en engangs scanner over, ikke?

Jeg skriver dette fra en anden PC, jeg lige kunne låne i 2 min - kan jeg godt starte iexplorer op på min egen pc (den inficerede) nu, inden jeg har kørt engangsscanneren, eller er det så forfra igen med det hele??

Jo du kan bare scanne når du kommer hjem igen :O)
Og nej det er ikke forfra :O)

Kom med en ny log, når du har scannet

OK. min virusscanner melder stadig om inficerede filer...

Ja, men vi er heller ikke færdige endnu.

Vi skal se en log fra dig, når du har scannet, så kan vi se om der er mere tilbage, eller om der ligger rester i systemgendannelsen.
Den deaktiverer vi tilsidst i oprydningen.
Din virusscanner kigger nemlig også i systemgendannelsen....

Ahhh. Den har jeg i øvrigt slået fra, da jeg scannede. Skal jeg slå den til igen nu, mens jeg arbejder?

Til sidst - når alt det her er overstået - kunne jeg godt tænke mig at vide hvor det her bras egenligt kom fra - har jeg ved en fejl mon kommet til at sige OK til at downloade noget? Hmmm

Men - jeg scanner i aften, og vender tilbage med en log i morgen tidlig

Systemgendannelsen slår vi bare til når du er færdig med det hele.

Typisk kommer sådan noget snavs ind, når du enten henter filer, besøger skumle sider eller deler filer. Eller som du selv siger: Man siger ja til et eller andet, man ikke lige har styr på hvad er. Det skal man holde sig fra.
:O)

Har kørt engangsscanner, genstartet, og kørt hijackthis. Der er stadig det samme snavs når jeg starter explorer. Logfil:

Logfile of HijackThis v1.99.0
Scan saved at 06:37:01, on 21-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\appje.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Distillr\acrotray.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\marm\Desktop\HiJackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by RAMBOLL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {610146D6-50AE-6627-57CD-E713C4595869} - C:\WINDOWS\iehv32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Bginfo] c:\windows\ramboll\bginfo /timer:00
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [XpUpdate] \\cher\image_update\update.cmd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\RunOnce: [appje.exe] C:\WINDOWS\appje.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: eFax Live Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
O4 - Global Startup: eFax Tray Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://vip.ramboll.dk/intranet/start.htm
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://sps01.ramboll.dk/Start/Portal/resources/msddsc.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://cowi.kortal.dk/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O17 - HKLM\Software\..\Telephony: DomainName = ramboll.ramboll-group.global.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterPlot IMF Printer Driver Service - Unknown - C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Intel Corporation - (no file)

Hent dette program først - http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

Når programmet er hentet skal du køre det. Klik på knappen - "Desinfektion starten". Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.

Når det er overstået, skal du køre CWShredder igen ifølge nedenstående retningslinier:

Afbryd din internetforbindelse (fysisk - stikket ud). Deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm). Kør så CWShredder og HUSK at lukkke alle vinduer undtaget CWShredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

------------------------------------------------------------------------------------------------------

Prøv derefter en tur med Regedit:
Klik på Start > Kør skriv >regedit< uden disse >< og klik OK.

Du får et vindue frem der minder om stifinder - Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder HOMEOldSP, gør der det, så slet den.

Klik så på "Denne computer" i Regedit-vinduet, derefter på "Redigér > Søg" skriv >HOMEOldSP< uden disse >< og klik på "Find næste" slet det den finder og tryk på <F3> tasten, slet dem der findes, tryk igen på <F3> til du får at vide at søgningen er afsluttet. Samme fremgangsmåde med søgeordet >About:blank<.

------------------------------------------------------------------------------------------------------

Så genstarter du i fejlsikker tilstand (tryk på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows) og kører programmet HijackThis.
Sæt flueben ud for linierne listet herunder. Når du har gjort det så lukker du alle andre vinduer ned (også mappen du åbnede for at køre HijackThis). Det er meget vigtigt, at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue (din Internet browser) når du har markeret filerne. Nu må du fixe > Klik på <Fix cheked>.

Her er linierne du skal fixe. HUSK at dobbelttjekke så ALT kommer med:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {610146D6-50AE-6627-57CD-E713C4595869} - C:\WINDOWS\iehv32.dll

O4 - HKLM\..\Run: [XpUpdate] \\cher\image_update\update.cmd
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [appje.exe] C:\WINDOWS\appje.exe

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)

------------------------------------------------------------------------------------------------------

Åbn en mappe, (lige gyldigt hvilken) klik i menuen øverst oppe på Funktioner > Mappeindstillinger > fanebladet Vis
Fjern flueben ved "Skjul beskyttede operativsystemfiler" (bare klik <Ok> til en eventuel advarsel)
Fjern flueben ved "Skjul filtypenavne for kendte filtyper"
Sæt prik i "Vis skjulte filer og mapper", tryk Ok og luk mappen.

Derefter skal du finde og slette det herunder listede:
Brug evt. Start > Søg > Alle filer og mapper > Under "Flere avancerede indstillinger" skal der være flueben i de tre øverste > Indsæt derefter det listede i feltet og tryk på søg. Slet alle de forekomster den finder.

C:\WINDOWS\appje.exe <<< FILEN

------------------------------------------------------------------------------------------------------

Genstart normalt - NY log *S*

Gjort som beskrevet oven for.

Ikke alle de ting du lister var at finde i listen efter kørsel af HiJackThis. Og selvom jeg markerede og fixede alle dem der jeg kunen finde, er de der stadig efter genstart og ny log fil - se selv.

Har du et bud på om jeg er halvvejs i processen, har jeg kun nået 1% eller er jeg næsten i mål  -  eller kommer jeg overhovedet i mål?

Bruger jeg mange flere timer på dette kunne en formatering snart være hurtigere (men det vil jeg meget gerne undgå)

Logfil:

Logfile of HijackThis v1.99.0
Scan saved at 14:16:00, on 21-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Distillr\acrotray.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
C:\OfficeScan NT\pccntupd.exe
C:\Program Files\TechSmith\SnagIt 7\TSCHelp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\marm\Desktop\HiJackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by RAMBOLL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Bginfo] c:\windows\ramboll\bginfo /timer:00
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: eFax Live Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
O4 - Global Startup: eFax Tray Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://vip.ramboll.dk/intranet/start.htm
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://sps01.ramboll.dk/Start/Portal/resources/msddsc.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://cowi.kortal.dk/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O17 - HKLM\Software\..\Telephony: DomainName = ramboll.ramboll-group.global.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterPlot IMF Printer Driver Service - Unknown - C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Intel Corporation - (no file)


Alle de der trusted zones var IKKE med, da jeg kørte HiJackThis i safe mode, og dem har jeg derfor ikek kunne fjerne... Hmmm?

Men hov - min startside er IKKE længere about:blank
Hurra!!!

Whats next?

Download DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf

Højreklik på DelDomains.inf og vælg: Install
Dette vil fjerne alle entries I trusted og restricted zone

Mere info http://www.mvps.org/winhelp2002/restricted.htm

Vi mangler ikke meget nu.
Nogle gange skal de fixes et par gange før de forsvinder...

Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.
http://www.spywarefri.dk/virusscannere.htm#alle


Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.



Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O23 - Service: Remote Procedure Call (RPC) Helper - Intel Corporation - (no file)

Hvis disse er der stadig, skal de fixes:

O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.bips.dk
O15 - Trusted Zone: *.bps.dk
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.kob.dk
O15 - Trusted Zone: *.rd.dk
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.bips.dk (HKLM)
O15 - Trusted Zone: *.bps.dk (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.kob.dk (HKLM)
O15 - Trusted Zone: *.rd.dk (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range:  (HKLM)
O15 - Trusted IP range: 127.0.0.1 (HKLM)


Find og slet:

C:\WINDOWS\fljeu.dll C:\DOCUME~1\Din bruger~1\LOKALE~1\Temp (Tøm din Temp mappe og tøm din papirkurv bagefter)



Og så skal du køre programmet CWS
Angående CWShredder:
.
Kør programmet, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Derefter en tur i Regedit.
Klik på Start gå i - Kør - skriv: regedit - tast enter
Du får et vindue lidt ligesom stifinder.
Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Du finder måske slet ikke noget med homeoldsp og about blank, men søg lige efter det alligevel.

Genstart, kør en scanning med hijackthis og kopier en ny log herind til test.

Du skrev ikke noget om andre genstarter, så alt ovenstående (kørsel med CWS) er foregået i safe mode. Skulle jg have genstartet efter at have kørt HiJackThis i safemode?

Nå - ny log (der er stadig den fljeu-dimmer)

Logfile of HijackThis v1.99.0
Scan saved at 08:31:46, on 24-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Distillr\acrotray.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\marm\Desktop\HiJackThis\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vip.ramboll.dk/intranet/start.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by RAMBOLL
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Bginfo] c:\windows\ramboll\bginfo /timer:00
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: eFax Live Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GDllCmd.exe
O4 - Global Startup: eFax Tray Menu 3.3.lnk = C:\Program Files\eFax Messenger Plus 3.3\J2GTray.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://vip.ramboll.dk/intranet/start.htm
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://sps01.ramboll.dk/Start/Portal/resources/msddsc.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://cowi.kortal.dk/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O17 - HKLM\Software\..\Telephony: DomainName = ramboll.ramboll-group.global.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterPlot IMF Printer Driver Service - Unknown - C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener - Unknown - C:\OfficeScan NT\tmlisten.exe

Hvad blev der af den ellers lynhurtige respons ;o)

Jeg beklager ventetiden.

Officielt er jeg holdt her på Eksperten. Men vi gør dem vi har startet på færdig.
Fremover vil du finde mig på www.spywarefri.dk

Du skal bare lige vide at hjælpen der, kun gælder for private. Ellers er hjælpen ikke gratis.

Du har ikke gjort noget forkert i at forbliv i fejlsikret under hele forløbet.
Nogle gange skal der bare to omgange til.

Vi prøver lige een gang til for prins Knud.....

Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Efter download dobbeltklikkes på exe-filen og der klikkes på knappen: Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.

Herefter køres CWShredder, da den lige skal fjerne en enkelt registrering.
Hent CWShredder her:
http://danborg.org/spy/CWS/cwshredder.exe


Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Prøv så en tur med Regedit.
Klik på Start - Kør skriv: regedit og klik OK.
Du får et vindue lidt ligesom stifinder.
Klik dig i venstre side frem til:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der ligger en nøgle/tekst der hedder "HOMEOldSP", gør der det slet den.
Ligger der herinde nogle filer under search page, search bar som ender på noget ....\sp. Skal du også slette dem.

Gå i rediger - ned i søg - i linjen skriver du: HOMEOldSP
Klik på find næste. Delete filen hvis den findes. Tast f3 for at finde næste (der er sikkert kun en)
Samme fremgangsmåde med søgeordet About:blank
Luk på X når du får at vide der ikke er flere filer at finde.

Hent dette clear reg prg. som er en free for 30 dages periode. http://www.webmasterfree.com/regcleaner.html

Genstart fejlsikret tilstand (tast f8 under genstart og vælg fejlsikret) og uden forbindelse til Nettet.
http://www.spywarefri.dk/virusscannere.htm#alle

Kør nu det clear reg Supreme prg. som du har hentet, og slet alt hvad den finder.

Du skal nu til at i gang med at fixe.

Kør en scanning med Hijackthis, så du kan se alle filer.
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer.

Det er disse, som skal fixes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vip.ramboll.dk/intranet/start.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\fljeu.dll/sp.html#10001
R3 - Default URLSearchHook is missing

-------------------------------------------------------------------
For at kunne se alle filer og mapper, så følg denne vejledning:
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


Søg og slet følgende filer og mapper:

C:\WINDOWS\fljeu.


Gå i:
C:\DOCUME~1\ Din bruger~1\LOKALE~1\Temp\ - Tøm alt i mappen Temp, og derefter skal du tømme din papirkurv.
Genstart almindeligt.
Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.


Lav så en ny log til gennemsyn.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vip.ramboll.dk/intranet/start.htm
Denne skal du nok ikke fixe ;O)

Ny logfil:

Logfile of HijackThis v1.99.0
Scan saved at 07:14:27, on 26-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\hkcmd.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Adobe\Distillr\acrotray.exe
C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 7\TSCHelp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\marm\Desktop\HiJackThis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vip.ramboll.dk/intranet/start.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by RAMBOLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Bginfo] c:\windows\ramboll\bginfo /timer:00
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://vip.ramboll.dk/intranet/start.htm
O16 - DPF: {62CEC9E0-3811-4C36-A94E-4F7565DCD23F} (DDSC Class) - http://sps01.ramboll.dk/Start/Portal/resources/msddsc.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://cowi.kortal.dk/ecwplugins/ncs.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O17 - HKLM\Software\..\Telephony: DomainName = ramboll.ramboll-group.global.network
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ramboll.ramboll-group.global.network
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterPlot IMF Printer Driver Service - Unknown - C:\win32app\ingr\ipshare\clntutil\bin\pidrpcs.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener - Unknown - C:\OfficeScan NT\tmlisten.exe



Er jeg reddet nu?

:o)

Ja det er du. din log er ren ;O)



Lidt råd med på vejen herfra skal du da også have.

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.

Stil dine mappeindstillinger tilbage.

Du skal nu have renset browser cachen

1. Klik på Funktioner - Internetindstillinger

2. Under midlertidige filer, klik på Slet cookies

3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold

4. Under Oversigten, klik på ryd oversigten

5. Klik på ok.

Tøm din papirkurv.

For at sikre din pc fremover ville det være en god idé at bruge nogle af programmerne fra vores lille pakke som du kan se her:
http://www.spywarefri.dk/pakken.htm

Især vil jeg anbefale Spybot/og eller Ad-aware, SpywareBlaster, IE Privacy Keeper/el. EmtyTempFolder, IE-Spyad og SpywareGuard som minimum. De er alle gratis, fylder ikke meget, sløver ikke din pc og konflikter ikke med dine andre programmer

Har skam gjort alt det - pånær installationen af det du nævner.

Ovenstående har vel næppe interesse for andre, der går jo helt specifikt på MIN PC - og jeg er ikke klar over om der er "personlige" info i ovenstående. Er det en god ide at slette tråden?

Du skal have mange tak, smid et svar og få dine velfortjente points

Jeg takker for det :O)

Det bliver så de sidste i denne omgang.

Det kan være vi ses.

Ovenstående har vel næppe interesse for andre, der går jo helt specifikt på MIN PC - og jeg er ikke klar over om der er "personlige" info i ovenstående. Er det en god ide at slette tråden?