Hijackthis log

Jeg kigger lige på den

Før jeg går i gang.. kan du ikke lige downloade den nye version af hijackthis og komme med en ny log?

http://www.downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis

Gør jeg lige.

Logfile of HijackThis v1.99.0
Scan saved at 17:30:47, on 29-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe
C:\WINDOWS\system32\4yck591lbh4thd.exe
C:\WINDOWS\system32\tibs3.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\aorku.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Thelen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\488F4P~1.DLL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\4yck591lbh4thd.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [FJVleFLaS] C:\WINDOWS\aorku.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GammaLaunch] C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Program Files\Microsoft Office\Office\1030\OLFSNT40.EXE
O4 - Global Startup: winlogin.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program Files\expektMPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102544155490
O16 - DPF: {6B4AAB56-A7AE-0627-D1EF-78FC428AF1F6} - http://69.50.182.94/1/rdgDK1735.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O20 - AppInit_DLLs: lxnybzxkxsc6z.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

Jeg kigger lige... det vil nok tage en smule tid at skrive alt du skal gøre for der er en del i din log:/

Ved det, kan ikke komme nettet med den computer, samt den skruer ned for lyden hver gang jeg skruer op :|

Download disse værktøjer (Vi skal bruge dem senere)

http://www.spywareinfo.dk/download/mwav.exe
http://www.dougknox.com/xp/utils/WinloginRemove.zip
http://securityresponse.symantec.com/avcenter/FxIstbar.exe
http://www.mvps.org/winhelp2002/DelDomains.inf


Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\488F4P~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\4yck591lbh4thd.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [FJVleFLaS] C:\WINDOWS\aorku.exe
O4 - Global Startup: winlogin.exe
O9 - Extra button: Expekt.com Poker - {3852AC86-965F-4abe-A75F-3DCB7E81A4B2} - C:\Program Files\expektMPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {6B4AAB56-A7AE-0627-D1EF-78FC428AF1F6} - http://69.50.182.94/1/rdgDK1735.exe
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.globalphon.com/dialer/internazionale_ver4.CAB
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O20 - AppInit_DLLs: lxnybzxkxsc6z.dll



Find og slet

Disse filer

C:\WINDOWS\system32\4yck591lbh4thd.exe
C:\WINDOWS\system32\tibs3.exe
C:\WINDOWS\aorku.exe

Denne mappe

C:\Program Files\ISTsvc\

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet disse filer

C:\WINDOWS\system32\488F4P~1.DLL
søg og find "lxnybzxkxsc6z.dll" slet den

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Fold mappen WinloginRemove.zip ud og start filen.

Kør også FxIstbar.exe

Højreklik på DelDomains.inf og vælg: Install

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

I windows trykker du nu på  Start > kør.
skriv regedit > OK.


Naviger hen til følgende punkt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


I højre side slet følgende:

"IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe"
"[5 tilfældigt generede tal]"  = "[en sti til adware]"


Naviger hen til dette punkt og slet ISTsvc:

HKEY_LOCAL_MACHINE\Software\ISTsvc


Luk regedit

Genstart normalt og smid en ny log herind.

angående Internettet må vi kigge på så snart din log er ren håber ikke det bliver en besværlig omgang!

C:\WINDOWS\system32\488F4P~1.DLL
søg og find "lxnybzxkxsc6z.dll" slet den

De 2 kunne jeg ikke finde og fjerne og winloginremover fandt ikke noget.



Logfile of HijackThis v1.99.0
Scan saved at 22:58:01, on 29-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Thelen\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GammaLaunch] C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Program Files\Microsoft Office\Office\1030\OLFSNT40.EXE
O4 - Global Startup: winlogin.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102544155490
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

O4 - Global Startup: winlogin.exe

søg efter "winlogin.exe" og slet den

genstart normalt og ny log

Hvis den stadig ikke er væk skal du gøre følgende for mig istedet

Genstart i fejlsikret tilstand

Når windows er loaded trykker du på Start->kør og skrive "regedit" og trykker enter.

I venstre panel naviger hen til følgende:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

i højre panel find og slet følgende:
NdplDeamon = "winlogin.exe"
winlogon = "winlogin.exe"

I venstre panel naviger hen til følgende:

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Runonce

i højre panel find og slet følgende:
winlogon = "winlogin.exe"

I venstre panel naviger hen til følgende:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon

i højre panel find og slet følgende:
“Shell” = "explorer.exe winlogin.exe"

luk regedit.

søg efter winlogin.exe endnu en gang og slet hvad du finder.. fiks

O4 - Global Startup: winlogin.exe

i hijackthis og genstart normalt og smid en ny log herind.
Så burde din log være ren.

Kan ikke finde noget inde i regedit af det du nævner.

så prøv bare med det jeg skriver

Kommentar: kalp
29/01-2005 23:06:25

Den skriver i hijackthis "filen kan ikke slettes, da den er i brug, brug taskmanager til at lukke programmet" og kan ikke finde filen i task manager.

http://www.docsdownloads.com/Tier1/dr-delete.htm

slet den med dr delete!

kalp > Elementer i O4 - Global Startup: ligger på denne sti i filsystemet:

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start

Der finder du filen winlogin.exe

tonnybrandt>> Jeg skal prøve at huske det.. og har noteret det, men tænkte på om en søgning på computeren ikke også ville finde den? jeg var ikke sikker på hvor den ville ligge. De ligger jo tit i system32 mappen

04 - Global Startup ligger altid på den sti.
C:\Documents and Settings\All Users\Menuen Start\Programmer\Start


Hvis det blot var O4 - Startup, ville de ligge i brugerens profilsti:
C:\Documents and Settings\<brugernavn>\Menuen Start\Programmer\Start

Og jo, en søgning i filsystemet burde have fundet, hvis den altså ikke er skjult eller en system fil og søgningen ikke var sat til at lede efter sådanne filer.

Fint nok det er noteret:)
Men tror også superbamsen har fundet den men har problemer med at slette den nu... så ser lige om ikke dr delete kan slette den i første omgang.

Jeg har sat DD til at slette filen, men når jeg starter op, kan den stadig ikke fjernes fra hijackthis og filen er tilbage.

Du skal gøre det hele i fejlsikret tilstand.. gør du det? lyder som om du gør det med hijackthis i normal tilstand

Det hele bliver gjort i fejlsikret tilstand.

kalp > Skal jeg gøre et forsøg ?

tonnybrandt>> må du gerne vil bare smide et sidste forslag først:)

ok

åben regedit som tidligere... denne gang når regedit er åben trykker du på rediger->søg og søg efter disse linjer en af gangen

NdplDeamon = "winlogin.exe"
winlogon = "winlogin.exe"
“Shell” = "explorer.exe winlogin.exe"

slet dem.

find winlogin.exe og slet den..

fiks

O4 - Global Startup: winlogin.exe

i hijackthis

genstart normalt og ny log

tonnybrandt>> Du kommer med dit forslag hvis det blev endnu en fuser.

den skriver "finished searching through the registry", men der kommer ikke noget frem.

Klik start | kør, skriv notepad og tryk enter.
Kopier linierne under den stiplede linie over i notesblok og gem filen på skrivebordet med navnet slet.bat og filtypen "alle filer"

Genstart i fejlsikret tilstand og dobbeltklik slet.bat.

Genstart i normal tilstand og kom med en ny HiJackThis log, samt "c:\slet.log", som batch-filen lavede.

----------------
dir "C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\winlogin.exe" > c:\slet.log
attrib -h -s -r "C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\winlogin.exe" >> c:\slet.log
dir "C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\winlogin.exe" >> c:\slet.log
del /f "C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\winlogin.exe" >> c:\slet.log
dir "C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\winlogin.exe" >> c:\slet.log
echo finished

Path not found - C:\Documents and Settings\All Users\Menuen Start\Programmer\Start


Logfile of HijackThis v1.99.0
Scan saved at 00:28:52, on 30-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Thelen\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GammaLaunch] C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Program Files\Microsoft Office\Office\1030\OLFSNT40.EXE
O4 - Global Startup: winlogin.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102544155490
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

kan vi ikke slette den med killbox?

Min fejl der, har engelsk winxp, retter lige kommando linjen.

hvis det ikke virker

Hent KillBox her:
http://download.broadbandmedic.com/ el. her hvis første link ikke virker:
http://www.spywareinfo.dk/download/KillBox.zip

Brugsanvisning kan du finde her:
http://www.fbeej.dk/KillBox2_manual.htm

Det er vigtigt, at du afbryder forbindelsen til Internettet inden du sletter nedenstående fil - hiv internetstikket ud af computeren.

Find winlogin.exe og slet den med killbox

Sorry, det kan jeg da godt se nu.
Skal jeg rette filen ?

dir "C:\Documents and Settings\All Users\StartMenu\Programs\Startup\winlogin.exe" > c:\slet.log
attrib -h -s -r "C:\Documents and Settings\All Users\StartMenu\Programs\Startup\winlogin.exe" >> c:\slet.log
dir "C:\Documents and Settings\All Users\StartMenu\Programs\Startup\winlogin.exe" >> c:\slet.log
del /f "C:\Documents and Settings\All Users\StartMenu\Programs\Startup\winlogin.exe" >> c:\slet.log
dir "C:\Documents and Settings\All Users\StartMenu\Programs\Startup\winlogin.exe" >> c:\slet.log
echo finished

Volume in drive C has no label.
Volume Serial Number is C009-983C

Directory of C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Volume in drive C has no label.
Volume Serial Number is C009-983C

Directory of C:\Documents and Settings\All Users\Start Menu\Programs\Startup

29-01-2005  17:16    <DIR>          .
29-01-2005  17:16    <DIR>          ..
17-12-2004  00:32            1.721 Microsoft Office.lnk
17-12-2004  00:32              916 Symantec WinFax Starter Port.lnk
29-01-2005  17:16                0 winlogin.exe
              3 File(s)          2.637 bytes
              2 Dir(s)    739.930.112 bytes free
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\*, Are you sure (Y/N)?

glemte så lige at trykke Y kan jeg se :)

Du er klar over at den kommandolinie sletter alle elementerne ikke ?

del /f "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\winlogin.exe"
sletter kun problembarnet.

Volume in drive C has no label.
Volume Serial Number is C009-983C

Directory of C:\Documents and Settings\All Users\Start Menu\Programs\Startup

29-01-2005  17:16                0 winlogin.exe
              1 File(s)              0 bytes
              0 Dir(s)    739.561.472 bytes free
Volume in drive C has no label.
Volume Serial Number is C009-983C

Directory of C:\Documents and Settings\All Users\Start Menu\Programs\Startup

29-01-2005  17:16    <DIR>          .
29-01-2005  17:16    <DIR>          ..
17-12-2004  00:32            1.721 Microsoft Office.lnk
17-12-2004  00:32              916 Symantec WinFax Starter Port.lnk
29-01-2005  17:16                0 winlogin.exe
              3 File(s)          2.637 bytes
              2 Dir(s)    739.561.472 bytes free
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\*, Are you sure (Y/N)?  Volume in drive C has no label.
Volume Serial Number is C009-983C

Directory of C:\Documents and Settings\All Users\Start Menu\Programs\Startup

30-01-2005  00:42    <DIR>          .
30-01-2005  00:42    <DIR>          ..
              0 File(s)              0 bytes
              2 Dir(s)    739.561.472 bytes free



Logfile of HijackThis v1.99.0
Scan saved at 00:43:36, on 30-01-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\RadClock.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
C:\Documents and Settings\Thelen\Desktop\HijackThis.exe
C:\WINDOWS\system32\ati2sgag.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [GammaLaunch] C:\Program Files\Pulsar Software\GammaLaunch\gamma.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102544155490
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe

TonnyBrandt> *G* det kan jeg se den gjorde... men det virkede da!!

Ok, for sent *s*

Men problemet er da væk

Yep den nye log her helt ren

TonnyBrandt>> Så bare et spørgsmål.. ville KillBox have slettet den? bare et bud

kalp > Ja, helt bestemt. Det viste sig jo at der ikke var noget særligt mht den fil. Mit bud er at HiJackThis ikke kunne slette den fordi den var tom. Størrelsen var 0 byte.

Det var den også! men smart trick med den bat fil;) gik da lidt hurtige end at skulle downloade killbox:)

Er der mere der skal fixes? :)

SuperBamsen>> Nej:o) Din log er helt ren:)!

Ja, de er nyttige og ekstremt effektive, især ved de rigtigt slemme hvor man må helt ud i genoprettelseskonsollen for at være 100% sikker på at filen ikke er låst.

Jeg ligger et svar og det gør TonnyBrandt også.
Superbamsen du markere begge navne nede i venstre side og trykker accepter så fordeles pointene lige over.

Jeps, tak for hjælpen begge 2 :)

Ok, her kommer svaret, og velbekomme *s*

tonnybrandt>> Det var en kommentar;)

svar .

superbamsen>> Selv tak:)

Takker for point :)