Prof. gennemgang af hijack this log

Logfile of HijackThis v1.99.0
Scan saved at 16:31:07, on 21-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\mshta.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\System32\mshta.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\L_Sand\Skrivebord\Hijackthisnew\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 3466709097 sea.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com your.com
O1 - Hosts: 3466709097 com.org
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10020} - C:\WINDOWS\system32\iqbcg37ap5.dll
O3 - Toolbar: The Simple Toolbar Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA99EB} - C:\WINDOWS\system32\r8k6sblcgt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Ubisoft register.lnk = D:\Spil\farcry\Register\register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.hta
O4 - Global Startup: RealAudio.exe
O9 - Extra button: The Simple Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINDOWS\system32\r8k6sblcgt.dll
O9 - Extra 'Tools' menuitem: The Simple Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINDOWS\system32\r8k6sblcgt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O18 - Filter: text/html - {8213FC1A-46D5-4ACE-B567-D75146786612} - C:\WINDOWS\system32\jjlh.dll
O18 - Filter: text/plain - {8213FC1A-46D5-4ACE-B567-D75146786612} - C:\WINDOWS\system32\jjlh.dll
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe

jeg kigger på den

Der er også virus på kan jeg lige se. Bruger avast virusscanner i højeste sikkerhedsindstilling men mens jeg skrev kom der besked om en virus. En dialer af en slags

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 3466709097 sea.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O1 - Hosts: 3466709097 www.your.com your.com
O1 - Hosts: 3466709097 com.org
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10020} - C:\WINDOWS\system32\iqbcg37ap5.dll
O3 - Toolbar: The Simple Toolbar Search - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA99EB} - C:\WINDOWS\system32\r8k6sblcgt.dll
O4 - Global Startup: Microsoft Office.hta
O4 - Global Startup: RealAudio.exe
O9 - Extra button: The Simple Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINDOWS\system32\r8k6sblcgt.dll
O9 - Extra 'Tools' menuitem: The Simple Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\WINDOWS\system32\r8k6sblcgt.dll
O18 - Filter: text/html - {8213FC1A-46D5-4ACE-B567-D75146786612} - C:\WINDOWS\system32\jjlh.dll
O18 - Filter: text/plain - {8213FC1A-46D5-4ACE-B567-D75146786612} - C:\WINDOWS\system32\jjlh.dll



Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\system32\jjlh.dll
C:\WINDOWS\system32\r8k6sblcgt.dll
C:\WINDOWS\system32\iqbcg37ap5.dll


søg efter RealAudio.exe og slet den

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.


Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Genstart normalt og smid en ny log fil herind

kigger på det

Så lykkedes det at få scannet igennem. Det er noget af en hæftig scanning den skulle igennem.

Der var to af de filer i system32 der ikke var der og der var nogle dialers som caspersky ikke opfattede som virus og ikke slettede. Men den fandt rigeligt.
Foreløbig tak for hjælpen - her følger ny log

Logfile of HijackThis v1.99.0
Scan saved at 18:13:47, on 21-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\L_Sand\Skrivebord\Hijackthisnew\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Ubisoft register.lnk = D:\Spil\farcry\Register\register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: Nordea Online investering - https://www.onlineinvestering.nordea.dk/oiclient.nsf/files/client/$FILE/oiclient.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe

Havde omgående virus lige efter at jeg postede ovenover. Det var Win32:Startpage-006 [Trj] Den samme virus som har plaget mig de tre gange jeg har forsøgt at rense computeren. Den er aldrig forsvundet. Dvs. der er stadig virus på computeren på trods af scan. Hvordan pokker kommer jeg rundt om det problem en gang for alle?

Kalp ser ikke lige ud til at være i nærheden, så jeg sparker lige lidt ind her: Kan du huske hvor de vira ligger? Det er meget sandsynligt at de ligger i system-gendannelsen.

Prøv dette: Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.

Så tror jeg det sidste er væk. Loggen ser iøvrigt ren ud, men vent lige til Kalp har bekræftet det, da det nu er ham, der har været log-fører...

Systemgendannelse var deaktiveret under scanningen. Noget andet jeg har bemærket efter fix er at denne side f.eks. ikke viser rammerne omkring teksten længere. Jeg kan ikke se folks karma og jeg kan ikke trykke på folks navn og derefter vælge at se deres profil. Det er et  problem der er opstået efter fix og virus scanning. Hvad kan det skyldes?

Det er lidt mærkeligt. JEG kan ikke se noget i loggen (men derfor kan der godt være noget). Problemerne med IE kan skyldes at virussen har ødelagt noget i din installation (som skal rettes vha. en Repair), men det forklarer jo ikke at du stadig kan finde virus.

Jeg har søgt lidt på nettet og er stødt på følgende rensningsforslag på den virus som du angiver ovenfor. Prøv dette, og meld tilbage om det på nogen måde løser noget. Det kan godt være at nogle af nøglerne og filerne allerede ER slettet i den hidtidige proces, men så bare fortsæt med næste skridt):
Luk alle IE-vinduer.

Klik på Start-kør
Tast Regedit
Fjern autostart-entries

1. I venstre vindue, lokaliser og fjern følgende registreringsnøgler::
• HKEY_CLASSES_ROOT>CLSID>{6D46FE83-2C11-4B64-A705-133AA211B691}
• HKEY_CLASSES_ROOT>CLSID>{020035D7-47A5-47E8-9346-538A71BB3F7D}
• HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Explorer>Browser Helper Objects>{6D46FE83-2C11-4B64-A705-133AA211B691}
• HKEY_CLASSES_ROOT>PROTOCOLS>Filter>text/html
• HKEY_CLASSES_ROOT>PROTOCOLS>Filter>text/plain
2. I venstre vindue, dobbeltklik på følgende:
HKEY_LOCAL_MACHINE>Software>Microsoft>Internet Explorer>Main
3. I højre vindue lokalser og slet følgende entry:
HOMEOldSP = "about:blank"
4. I venstre vindue, dobbeltklik på følgende:
HKEY_CURRENT_USER>Software>Microsoft>Internet Explorer>Main
5. I højre vindue lokalser og slet følgende entry:
HOMEOldSP = "about:blank"
6. Luk regedit.

Hvis der er nogle af registreringerne der ikke lader sig slette med denne proces, så genstart computer i fejlsikret og prøv igen.

Sletning af filen:
Søg efter: sp.html og slet den
------------------------------------
Hvis det ikke bringer dig videre, så prøv dette:
Hent det her program først:(Samme program, bare to links)
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix
http://www.rokop-security.de/main/download.php?op=getit&lid=59

Hent CWShredder her:
http://danborg.org/spy/CWS/cwshredder.exe
Placer den i sin egen mappe.

Efter download dobbeltklikkes på Sphjfix.exe-filen og der klikkes på knappen:
Desinfektion starten"
Herefter skal computeren genstartes. Cleaneren starter nu automatisk for at afslutte desinfektionen.

Kør CWShredder, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer (f.eks Antivirus, Firewall, SpywareGuard mm), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdig klik på Next, klik på Exit.

Meld gerne tilbage om den finder noget - det kan bruges i det videre arbejde. (det kan dog godt være at jeg efterhånden lukker ned nu, men mon ikke Kalp snart dukker op. Han synes at arbejde på de mærkeligste tidspunkter :-))

yeps sorry har været til fødselsdag:)

Det er okay kalp. Der blev rettet mange sære ting. Er nød til at vente til senere på weekenden med at forsøge de sidste forslag. Forsøgte at fixe min brors computer. Men det endte med jeg stadig ikke kunne fjerne virusen som de tre seneste gange jeg har forsøgt at rense den. Og så gik der bajere og poker i det i stedet. Kigger videre på det lørdag eller søndag. Foreløbig tak for hjælpen.

Det helt okay:) Så tager vi den bare der:)

Zandman: Kom du til bunds i det?

Jeg afventer stadig en lejlighed til at kigge på det. Har ikke lige snakket med min bror siden sidst. Men bare rolig jeg har ikke glemt det.

zandman>> Når du vender tilbage så start med at komme med en ny log og håber da ikke vi skal starte fra bunden af igen hehe:)

Computeren skulle efter sigende være ret så fuc... up igen. Det er det samme problem hver gang. Den bliver renset for alt men så er der lige den der virus der ligger og roder og som jeg personligt tror er årsagen til problemerne. Men har stadig ikke haft lejlighed til at kigge på det.

Er der stadig nogen der følger denne tråd. I så fald håber jeg at enten kalp eller en anden har tid. Hvis jeg skal oprette en ny tråd og uddele de point der er givet for denne så gør jeg det gerne. Jeg vil blot gerne have hjælp til at fjerne det snavs der måtte være tilbage. Jeg har kørt antivirus scan plus adaware og spybot scan. Sidste gang jeg forsøgte rep som det fremgår ovenfor blev computeren omgående inficeret med virus efter genstart. Derfor søger jeg også råd om den trojan der gemmer sig.

Logfile of HijackThis v1.99.1
Scan saved at 20:33:26, on 18-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\MSMSGS.EXE
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\L_Sand\Skrivebord\Hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A97BD3A0-78B6-4AAE-9079-3310BD0A1E4F} - C:\WINDOWS\system32\dcjm.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\MSMSGS.EXE" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Ubisoft register.lnk = D:\Spil\farcry\Register\register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O18 - Filter: text/html - {B3BB0228-C5ED-4E18-9DD2-FEE494806B35} - C:\WINDOWS\system32\dcjm.dll
O18 - Filter: text/plain - {B3BB0228-C5ED-4E18-9DD2-FEE494806B35} - C:\WINDOWS\system32\dcjm.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)

jeg kommer med en procedure men man lad os endelig blive færdige med den denne gang!

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A97BD3A0-78B6-4AAE-9079-3310BD0A1E4F} - C:\WINDOWS\system32\dcjm.dll (file missing)
O18 - Filter: text/html - {B3BB0228-C5ED-4E18-9DD2-FEE494806B35} - C:\WINDOWS\system32\dcjm.dll
O18 - Filter: text/plain - {B3BB0228-C5ED-4E18-9DD2-FEE494806B35} - C:\WINDOWS\system32\dcjm.dll

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet

C:\WINDOWS\system32\dcjm.dll

Hvis den findes.

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Jeg efterlader hermed også et svar:))

Jeg fandt ikke C:\WINDOWS\system32\dcjm.dll Men den skulle jo heller ikke nødvendigvis være der.

Før jeg postede den nye log fjernede jeg desuden to trojans fra computeren og noget spyware. De to trojans fik internet explorer til igen at virke normalt og spywaren fik startsiden til at komme tilbage til normalt. Så mon ikke den er clearet nu.

Du får tak for hjælpen. Håber ikke jeg får bøvl igen foreløbig. Svar accepteret self.

Kom lige med en ny log:)

Nåh ja. Det var egentlig også min mening.

Logfile of HijackThis v1.99.1
Scan saved at 21:57:11, on 18-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\L_Sand\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Startup: Ubisoft register.lnk = D:\Spil\farcry\Register\register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O9 - Extra 'Tools' menuitem: EmpirePoker - {77E68763-4284-41d6-B7E7-B6E1F053A9E7} - C:\Programmer\EmpirePoker\EmpirePoker.exe (file missing)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programmer\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmer\Sygate\SPF\smc.exe

så burde den være clean!!

ok. Det håber vi på så. :) Har dog mistanke til en fejl i explorer. Det sker at man bliver sendt ind på en spyware side når jeg taster www.arlet.dk Men det må jeg lige kigge på når det sker igen. Indtil videre er der ikke virus på. Så tak for hjælpen endnu engang.

Har fundet ud af hvad det er. Når jeg taster en adresse forkert så ryger jeg ind på følgende side: http://vv6.i1.topx.cc/index.php?aid=20038 som virker mistænkelig.

1. Hent DllCompare

http://download.broadbandmedic.com/DllCompare.exe
eller
http://www.fbeej.dk/Programmer/DllCompare.exe

2. Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

3. Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

4. Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\0bjuk5~1.dll  Sat  8 Jan 2005  10.38.22  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\2hztfl~1.dll  Sun 16 Jan 2005  19.59.52  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\4dxo7t~1.dll  Tue 11 Jan 2005  8.25.16  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\5kq431~1.dll  Sun 16 Jan 2005  10.46.10  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\8e6yg5~1.dll  Sun 16 Jan 2005  13.45.44  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\921ckg~1.dll  Sun 16 Jan 2005  15.00.42  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\bh37j6~1.dll  Thu  6 Jan 2005  18.04.48  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\c91hno~1.dll  Mon 17 Jan 2005  16.03.28  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\cc1n1i~1.dll  Mon 17 Jan 2005  8.20.20  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\dkdeng~1.dll  Fri  7 Jan 2005  19.48.56  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\fardop~1.dll  Sun 16 Jan 2005  10.52.28  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\gvp12k~1.dll  Mon 10 Jan 2005  17.38.00  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\i5f33w~1.dll  Tue 11 Jan 2005  19.35.24  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\kbdgce.dll    Sun 20 Jun 2004  8.09.12  A...R        57.344    56,00 K
C:\WINDOWS\SYSTEM32\kjk9do~1.dll  Thu  6 Jan 2005  20.22.30  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\onbsbk~1.dll  Fri 21 Jan 2005  9.37.26  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\pf8t3k~1.dll  Thu  6 Jan 2005  18.18.50  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\pgy1k9~1.dll  Thu  6 Jan 2005  21.25.44  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\q48kmj~1.dll  Mon 17 Jan 2005  11.22.34  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\svxdtv~1.dll  Fri 21 Jan 2005  16.09.28  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\t2gk53~1.dll  Thu 13 Jan 2005  18.09.50  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\u1kcjd~1.dll  Fri 21 Jan 2005  12.37.56  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\ukqck6~1.dll  Mon 10 Jan 2005  23.54.52  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\v558ui~1.dll  Fri 14 Jan 2005  17.53.22  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\va1d1i~1.dll  Fri 21 Jan 2005  16.02.52  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\xcm85i~1.dll  Wed  5 Jan 2005  20.34.14  ...H.        32.256    31,50 K
C:\WINDOWS\SYSTEM32\yajuql~1.dll  Thu  6 Jan 2005  18.13.22  ...H.        32.256    31,50 K
________________________________________________

1.293 items found:  1.293 files (26 H/S), 0 directories.
Total of file sizes:  267.109.825 bytes    254,73 M

Administrator Account =  True

--------------------End log---------------------

WOW!! Der har vi synderne!!!

Genstart i fejlsikret tilstand

slet alle de filer den har fundet der!! du skal selv ind i windows folderen og slette dem manuelt.

ok kigger på det.

Kalp > Blot et spørgsmål:
Er du 100% sikker på at denne skal slettes ?
C:\WINDOWS\SYSTEM32\kbdgce.dll    Sun 20 Jun 2004  8.09.12  A...R        57.344    56,00 K

hmm.... jeg har den ikke selv. Hvad skulle den tilhøre da?

Jeg ved det ikke, men den falder uden for mønsteret efter min mening. Både hvad angår attributter, navn, dato og størrelse.

Og navnet ... kbdgce.dll   
kbd er normalt lig med noget til et keyboard.

Men jeg er ikke rigtigt dus med dllcompare, så det kan være at den er dårlig. Jeg ville nok ikke have slettet den, men istedet omdøbt den alene fordi den falder uden for mønsteret.

Okay og ja det var også derfor jeg søgte i min windows folder efter den fordi den ikke lignede de andre.. nu kiggede jeg kun på størrelsen og navnet. Den var uden ~ tegnet.

Men egentlig rigtigt nok:) så kunne man starte med at omdøbe :)

Bare rolig den er ikke slettet. For den var ikke i system 32. Har lige slettet de andre genstarter og poster igen. en log.

hmm var den ikke??

prøv lige at søge efter den

"kbdgce.dll" og højreklik på den.. vælge egenskaber og se hvad der står om den

Når jeg søger i windows med alle filer og hidden og undermapper finder den ikke filen. Men den findes da kan jeg se. Jeg kan bare ikke se den. HMM.

LLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\kbdgce.dll    Sun 20 Jun 2004  8.09.12  A...R        57.344    56,00 K
________________________________________________

1.267 items found:  1.267 files, 0 directories.
Total of file sizes:  266.271.169 bytes    253,93 M

Administrator Account =  True

--------------------End log---------------------

Den giver også nul google hits. Skulle da tro der var noget om den fil.

Tjah det troede jeg også... men tonnyb har gjort mig usikker hehe..
jeg undrer mig da over hvorfor en fil er gemt så godt som den der er.. hvis den altså er god.

tror sagtens vi kan slette den uden at kunne se den, men det bare om vi skal.

prøv at højreklikke på system32 mappen og vælge søg...

Intet resultat

Den redirecter stadig til http://vv2.i1.topx.cc/index.php?aid=20038

Når man skriver en adresse forkert i adressefeltet i eksplorer. Overvejer seriøst at skifte browser.

Skal jeg lave en ny tråd. Det er efterhånden mere fair.

nej nej... jeg venter bare på tonny's bidrag

med mindre du tillader vi prøver at slette den?

Jeg gambler kun i poker. :) og jeg kan overhovedet ikke finde den. Heller ikke i en command promt.

Yes så venter vi lige på Tonny.. og ellers må vi se på den som en "okay" fil foreløbende og undersøge din pc med et andet værktøj

Sorry, faldt lige i en god film, jeg var ikke klar over at i ventede på mig.

Vi prøver lige en speciel teknik og ser om den måske kan bære frugt:

Gen teksten under den stiplede linie som fil, med filtypen alle filer og navnet test.reg. Dobbeltklik herefter på den og sig ja til at tilføje værdierne i reg-basen.

Genstart og kør igen en dllcompare og se om den stadig er deri.

-----------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"kbdgce.dll"="cmd /c Attrib -h -r -s C:\\WINDOWS\\system32\\kbdgce.dll & ren C:\\WINDOWS\\system32\\kbdgce.dll  C:\\WINDOWS\\system32\\kbdgce.txt"

Den er der stadigvæk.

*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\kbdgce.dll    Sun 20 Jun 2004  8.09.12  A...R        57.344    56,00 K
________________________________________________

1.267 items found:  1.267 files, 0 directories.
Total of file sizes:  266.271.169 bytes    253,93 M

Administrator Account =  True

--------------------End log---------------------

Tonny prøvede at slette den lidt på samme måde som jeg havde forestillet mig.. mystisk fil:)

prøv lige at trykke start->kør og skriv "regedit" ..tryk rediger-> søg og skriv "kbdgce.dll"

finder den noget?

Tjah men ikke selve filen. Den finder den i search assistent fordi jeg har søgt efter den manuelt og så finder den den et sted hvor den indgår i den kommando jeg kørte ovenover. Dvs. selve filen finder den ikke.

search assistent? Jeg er ikke helt med, men som regelt er det jo ikke et godt sted og lyder som om den skal slettes, men prøv lige følgende først..

Hent

CWShredder http://www.mdegn.dk/download/CWShredder.exe

Kør CWShredder, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder
Klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Det er måske dårligt forklaret. Men den finder den i registrerings databasen under den søgefunktion som er indbygget i windows. Dvs. hvis jeg f.eks. går i start søg og skriver ´"bla bla" som søgeord kan jeg bagefter gå i registreringsbasen og finde ordet fordi den åbenbart gemmer en liste over de søgninger der er lavet. Prøver at køre CWShredder

Den fandt et enkelt problem i explorer hvor den genetablerede startsiden tror jeg der stod. Det mente jeg ellers allerede var sket. Den omdirigerer stadigvæk til siden http://vv2.i1.topx.cc/index.php?aid=20038 når jeg taster forkert i adresselinien.

Blot lige for en god ordens skyld:
Jeg fandt info på internettet, ikke om selve filen, men om størrelsen på den og den ER snavs og SKAL slettes. Jeg leder stadig efter den rigtige måde at slette den på ...

zandman > I det øjeblik du har søgt på filnavnet i reg-basen bliver den tilføjet til en MRU liste og vil altid befinde sig i reg-basen. Det er helt ufarligt og skal ikek fixes.

Okay.. lidt underligt CWSshredder fandt noget.. men okay det hjalp stadig ikke.. vil lige vente med at smide et yderligere forslag ind til Tonny har givet det endnu et forsøg.

Og jeg er da glad for vi enige om det er snavs hehe

Mit forslag vil være at gøre den synlig med FindNFix.. bare så du stopper mig hvis du mener det er tidspild tonny:o)

Da jeg ikke mener dette emne hører til under et spørgsmål om hijack log og da jeg synes i fortjener point for at løse dette specifikke problem har jeg oprettet følgende spørgsmål.

http://www.eksperten.dk/spm/601661

kalp > Der er 2 måder at angribe problemet på. Fra windows eller fra genoprettelses konsollen og findnfix er netop "windows måden". Så den prøver vi da bare. Vi kan altid tage den anden bagefter, hvis det ikke virker:

Hent FINDnFIX her:

http://downloads.subratam.org/FINDnFIX.exe

Dobbeltklik på filen - den vil installere sig på din computer i C:\FINDnFIX

I mappen ligger der !LOG!.bat, som du skal dobbeltklikke på - der går nu lidt tid, mens den indhenter informationer - når den er færdig, lægges der en Log.txt i mappen. Kopier indholdet herind.

kunne man ikke direkte køre FIX.bat ? eller er det at være sjusket?:P
for dllcompare fandt trods alt de andre.. men okay finder findnfix mere så kan jeg lære det hehe:)

Hovsa glemte lige at sige det.. det er et forældet link du linker til Tonny:)

her er der et som virker
http://www.downloadportal.dk/showdownload.asp?rid=4215&sp=FindNFix.exe

Det er det søreme også. Jeg må have rettet mine links *s*

Man kan ikke køre fix.bat før man har lavet loggen, så det har ikke noget med sjusk at gøre, men data er simpelthen ikke tilstede uden du har kørt !log!.bat.

Det viste link var dødt. Fandt det dog her.
http://www.downloadportal.dk/showdownload.asp?rid=4215&sp=FindNFix.exe

Log:
»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»
--The directory 'junkxxx' is now included as a Subfolder in the FINDnfix folder
and is the destination for the file to be moved..
-*Previous directions will no longer work...
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2900.2180 SP2
Filsystemtypen er NTFS.
C: er ikke ‘ndret.

19-03-2005
  1:42pm  up 0 days,  4:30

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
*For *Helpers/Mods and/or users that are not familiar with any of the
items on the scan results- I recommend using an alternative, once
you know what to look for!
»»»»»»»»»»»»»»»»»»***LOG!***(*modified 7/12)»»»»»»»»»»»»»»»»

»»»*»»»*Boards that are not personally authorised by me are not allowed to use this fix!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:\WINDOWS\System32\KBDGCE.DLL +++ File read error
\\?\C:\WINDOWS\System32\KBDGCE.DLL +++ File read error

»»»»» (*2*) »»»»»........
**File C:\FINDnFIX\LIST.TXT
KBDGCE.DLL  Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT
¯ Access denied ® ..................... KBDGCE.DLL    .....57344  20.06.2004 

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read            BUILTIN\Brugere
(IO)    ALLOW  Read            BUILTIN\Brugere
(NI)    ALLOW  Read            BUILTIN\Superbrugere
(IO)    ALLOW  Read            BUILTIN\Superbrugere
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     BUILTIN\Administratorer
(NI)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Read              BUILTIN\Superbrugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group L_SAND\Ingen.
User is a member of group \Alle.
User is a member of group BUILTIN\Administratorer.
User is a member of group BUILTIN\Brugere.
User is a member of group NT AUTHORITY\INTERAKTIV.
User is a member of group NT AUTHORITY\Godkendte brugere.
User is a member of group \LOKAL.


»»»»»»Backups created...»»»»»»
  1:43pm  up 0 days,  4:31
19-03-2005

A          C:\FINDnFIX\keyback.hiv
--a--    -  -  -              -  -      8,192 03-19-2005 keyback.hiv
A          C:\FINDnFIX\keys1\winkey.reg
--a--    -  -  -              -  -        287 03-19-2005 winkey.reg

C:\FINDNFIX\
  JUNKXXX        Sat 19 Mar 2005  13.42.48  .D...        <Dir>

1 item found:  0 files, 1 directory.

»»Performing string scan....
00001150:                        ?                                     
00001190:                                    vk  >            f AppInit_
000011D0:DLLs  G    C : \ W I N D O W S \ S y s t e m 3 2 \ k b d g c e
00001210:. d l l    x              vk      X          UDeviceNotSelecte
00001250:dTimeout    1 5      ( W    9 0    ?  q    vk      '        z
00001290:GDIProcessHandleQuota"      vk                  Spooler2    y e
000012D0:s              (  x              vk                =pswapdisk
00001310:    vk      h        R TransmissionRetryTimeout        (  x 
00001350:            `      vk      '        LUSERProcessHandleQuota 
00001390:p                                                             
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               
00001590:                                                               
000015D0:                                                               

---------- WIN.TXT
fùAppInit_DLLs֍æG¸ÿÿÿC
--------------
--------------
C:\WINDOWS\System32\kbdgce.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 62 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\kbdgce.dll"
0000    43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00  |  C.:.\.W.I.N.D.O.
0010    57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00  |  W.S.\.S.y.s.t.e.
0020    6d 00 33 00 32 00 5c 00 6b 00 62 00 64 00 67 00  |  m.3.2.\.k.b.d.g.
0030    63 00 65 00 2e 00 64 00 6c 00 6c 00 00 00        |  c.e...d.l.l...


Bingo! ...kalp tripper helt hehe:o)

Jeps *s*

I keys1 mappen ligger der en fil der hedder FIX.bat - dobbeltklik på den. Computeren vil genstarte. Giv den tilladelse til at genstarte. Når computeren er genstartet, skal du åbne Stifinder og finde C:\WINDOWS\System32\kbdgce.dll
(den bør være synlig nu). Klik én gang på filen så den bliver markeret med blåt, i menuen for oven skal du vælge Rediger -> Flyt til mappe ...og flyt den til C:\FINDnFIX\junkxxx.

Åben FINDnFIX mappen igen - dobbeltklik på Restore.bat. Når den har kørt ligger der en logfil igen, der hedder Log2.txt - kopier indholdet herind i dit næste indlæg.

Dll compare finder stadig filen dog.
*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\kbdgce.dll    Sun 20 Jun 2004  8.09.12  A...R        57.344    56,00 K
________________________________________________

1.267 items found:  1.267 files, 0 directories.
Total of file sizes:  266.271.169 bytes    253,93 M

Administrator Account =  True

--------------------End log---------------------

zandman ja men ikke så længe endnu:) det var mere at den blev fundet i FindNFix

Øhhh havde ikke set den kommentar fra før. Det varer lige lidt.

Okay. Det var det. Det virker til at være et vildt program.


»»»»»»»»»»»»»»»»»»*** freeatlast100.100free.com ***»»»»»»»»»»»»»»»»

19-03-2005
  2:00pm  up 0 days,  0:04

Microsoft Windows XP [version 5.1.2600]
»»»IE build and last SP(s)
6.0.2900.2180 SP2
Filsystemtypen er NTFS.
C: er ikke ‘ndret.

»»»»»»»»»»»»»»»»»»***LOG1!***»»»»»»»»»»»»»»»»

This log will confirm if the file was successfully moved, and/or the right file was selected.

Scanning for file(s) in System32...

»»»»»»» (1) »»»»»»»

»»»»»»» (2) »»»»»»»
**File C:\FINDnFIX\LIST.TXT

»»»»»»» (3) »»»»»»»

No matches found.
Unknown/hidden files...

No matches found.

»»»»»»» (4) »»»»»»»
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(5)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»»»»» Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»*»»» Scanning for moved file... »»»*»»»



No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


fgrep: no files found for C:\FINDNFIX\JUNKXXX\*.*


Filen C:\FINDnFIX\junkxxx\*.* blev ikke fundet.

CHK-SAFE.EXE Ver 2.51 by Bill Lambdin Don Peters and Robert Bullock.
MD5 Message Digest Algorithm by RSA Data Security, Inc.

  File name    Size    Date    Time        MD5 Hash
________________________________________________________________________
»»Permissions:
ERROR: Der er ikke flere filer.

Directory "C:\FINDnFIX\junkxxx\."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x BUILTIN\Administratorer
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000000 t--- 001F01FF ---- DSPO rw+x L_SAND\L_Sand
        Allow  0000000B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000003 tco- 001200A9 ---- -S-- r--x BUILTIN\Brugere
        Allow  00000002 tc-- 00000004 ---- ---- --+- BUILTIN\Brugere
        Allow  00000002 tc-- 00000002 ---- ---- -w-- BUILTIN\Brugere

    Owner: L_SAND\L_Sand

    Primary Group: L_SAND\Ingen

Directory "C:\FINDnFIX\junkxxx\.."
    Permissions:
        Type    Flags    Inh. Mask    Gen. Std. File Group or User
        ======= ======== ==== ======== ==== ==== ==== ================
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x BUILTIN\Administratorer
        Allow  00000003 tco- 001F01FF ---- DSPO rw+x NT AUTHORITY\SYSTEM
        Allow  00000000 t--- 001F01FF ---- DSPO rw+x L_SAND\L_Sand
        Allow  0000000B -co- 10000000 ---A ---- ---- \CREATOR OWNER
        Allow  00000003 tco- 001200A9 ---- -S-- r--x BUILTIN\Brugere
        Allow  00000002 tc-- 00000004 ---- ---- --+- BUILTIN\Brugere
        Allow  00000002 tc-- 00000002 ---- ---- -w-- BUILTIN\Brugere

    Owner: L_SAND\L_Sand

    Primary Group: L_SAND\Ingen



»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout    SZ    15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler    SZ    yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk    SZ   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout    SZ    90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota    DWORD    00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs    SZ   

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    DeviceNotSelectedTimeout = 15
    GDIProcessHandleQuota = REG_DWORD 0x00002710
    Spooler = yes
    swapdisk =
    TransmissionRetryTimeout = 90
    USERProcessHandleQuota = REG_DWORD 0x00002710
    AppInit_DLLs =

  »»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read            BUILTIN\Brugere
(IO)    ALLOW  Read            BUILTIN\Brugere
(NI)    ALLOW  Read            BUILTIN\Superbrugere
(IO)    ALLOW  Read            BUILTIN\Superbrugere
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     BUILTIN\Administratorer
(NI)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(IO)    ALLOW  Full access     NT AUTHORITY\SYSTEM
(NI)    ALLOW  Full access     BUILTIN\Administratorer
(IO)    ALLOW  Full access     CREATOR OWNER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read              BUILTIN\Brugere
Read              BUILTIN\Superbrugere
Full access      BUILTIN\Administratorer
Full access      NT AUTHORITY\SYSTEM



00001150:                        ?                                     
00001190:                                    vk                UDeviceNo
000011D0:tSelectedTimeout    1 5      ( W            vk      '        z
00001210:GDIProcessHandleQuota"      9 0    ?  q    vk      X         
00001250:Spooler2    y e s          vk                =pswapdisk       
00001290:    8  h          vk      (        R TransmissionRetryTimeout
000012D0:    vk      '        LUSERProcessHandleQuota              8 
00001310:h                  vk                f AppInit_DLLs  G       
00001350:                                                               
00001390:                                                               
000013D0:                                                               
00001410:                                                               
00001450:                                                               
00001490:                                                               
000014D0:                                                               
00001510:                                                               
00001550:                                                               

---------- NEWWIN.TXT
fùAppInit_DLLs֍æG¸
--------------
--------------
--------------
No strings found.

Åben C:\FINDnFIX\Files2 (mappen Files2) - dobbeltklik på ZIPZAB.bat. Den vil nu rense yderligere og kopiere de "snavsede" filer over i en zipfil der hedder junkxxx.zip.

Programmet vil også åbne dit e-mail program, idet konstruktøren gerne vil have kopier af infektionen, så hun kan udvikle modforholdsreglerne.

Du kan dog blot lukke emailprogrammet igen, idet jeg tror konstruktøren bliver bombarderet med emails med snavsede filer.

Og det var sidste punkt af proceduren.

Og programmet er ret imponerende, når man går ind i hvad det gør. Men ham der har lavet de snavsede filer og fundet på måden at lægge de skjulte entries ind i appinitdll nøglen i reg-basen har nu også været særdeles kreativ !.

Jeg kan godt lide programmering og synes det temmelig snedigt gjort hehe

og FindNFix er altid godt at have i baglommen.. længe siden jeg har set det i aktion:o)

faktisk er grunden til det ikke findes på det link TonnyB smed var fordi folk ikke brugte rigtigt hehe

Kanon. Tak for hjælpen begge to. Nu kan jeg stave alt det forkert jeg vil uden at havne på en eller anden spyware side :) Den rettede lige værdierne her til sidst. Dejligt.

Selv tak:)) og det var da lækkert med lidt nyt med udfodring i for en gangs skyld *G*

Velbekomme.

zandman > Du skal forresten lige huske at lukke det point spørgsmål du lavede tidligere: http://www.eksperten.dk/spm/601661