En Trojan har overtaget min PC

jeg ser på den:)

Du genkender denne?
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

Download CWShredder (Vi skal bruge den senere)
http://www.mdegn.dk/download/CWShredder.exe

Opdater dit virus program.

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {066FEBCA-85A0-11D9-88B4-00041A23780E} - C:\WINDOWS\SYSTEM\OGC.DLL
O18 - Filter: text/html - {066FEBC9-85A0-11D9-88B4-0004EAF1E679} - C:\WINDOWS\SYSTEM\OGC.DLL
O18 - Filter: text/plain - {066FEBC9-85A0-11D9-88B4-0004EAF1E679} - C:\WINDOWS\SYSTEM\OGC.DLL

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Kør CWShredder, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder
Klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Lav en fuld system scan med dit virus program.. slet alt det finder.

Genstart normalt og ny log

Jeg tillader mig at lægge en procedure idet kalps procedure ikke er fyldestgørende.

Hvis du ikke har dem så:
Hent og opdater Ad-Aware: http://www.spywarefri.dk/vaerktoj.htm#adaware

Hent og opdater CWShredder: http://www.spywareinfo.com/downloads/tools/CWShredder.exe
Eller her: http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Hent Aboutbuster og læg dette program i sin egen mappe et sted du kan huske:
http://www.atribune.org/downloads/AboutBuster.zip

Genstart fejlsikret tilstand. Du trykker F8 nogle gange mens windows starter op.
Fix disse med HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {066FEBCA-85A0-11D9-88B4-00041A23780E} - C:\WINDOWS\SYSTEM\OGC.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServicesOnce: [*c] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O18 - Filter: text/html - {066FEBC9-85A0-11D9-88B4-0004EAF1E679} - C:\WINDOWS\SYSTEM\OGC.DLL
O18 - Filter: text/plain - {066FEBC9-85A0-11D9-88B4-0004EAF1E679} - C:\WINDOWS\SYSTEM\OGC.DLL


Vi skal kunne se dine skjulte filer for at finde snavs, der skal slettes manuelt. Det er en del af processen.
Åbn en tilfældig mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Søg og slet følgende stadig i fejlsikret tilstand:

C:\WINDOWS\GENEREGT.TXT
C:\WINDOWS\SYSTEM\OGC.DLL

Så starter du aboutbuster. Fjern det den finder.

Nu kører du en scanning med Ad-Aware og CWShredder og fjerner, hvad de finder.

Angående CWShredder:
Pak zipfilen ud i en mappe.
Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk (stikket ud), luk alle vinduer undtaget cwshredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.


Så skal du lige en tur i registrerings databasen:
Start->Kør, skriv- regedit klik OK.

Klik dig frem til:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Tjek om der en nøgle/tekst der hedder-About:blank, hvis ja, så slet den
Klik på - Denne Computer, i regedit vinduet, klik- rediger-søg, skriv: About:blank tryk- Enter. Slet den, tryk F3 -slet - F3 -slet indtil søgningen er færdig.
Samme fremgangsmåde med-HomeOldSP


Og slet indholdet i din temp mappe: C:\WINDOWS\TEMP\
Samt midlertidige internet filer-kontrolpanel-internetindstillinger-generelt-slet filer og cookies

Genstart.
Så bliver du nødt til at komme med en log mere til kontrol

Det tog lidt tid...
Jeg fandt ud af at linien:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81
er ret vital for min internet forbindelse, men som i ser fandt jeg ud af
hvor den skulle genindsættes.

Jeg har fulgt anvisning fra kalp
CWShredder fandt tilsyneladene ikke noget og min ny opdaterede McAfee fandt heller ikke noget.

Problemet er ikke løst, der har været et popup.

Til tonnybrandt jeg har ikke fulgt din anvisning. Mappeindstillinger
virker ik helt som du beskriver og filerne
C:\WINDOWS\GENEREGT.TXT
C:\WINDOWS\SYSTEM\OGC.DLL
findes ikke

Logfile of HijackThis v1.99.1
Scan saved at 20:46:48, on 23-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\CWD3DSND.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*m] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

ser om der stadig er mere synligt i loggen

Det er der.

En ny logudskrift:

Logfile of HijackThis v1.99.1
Scan saved at 21:03:59, on 23-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\CWD3DSND.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAMMER\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*m] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

Genstart i fejlsikret tilstand

fiks denne linje i hijackthis

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServicesOnce: [*m] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject

Slet indholdet af

C:\WINDOWS\TEMP\

Genstart normalt og ny log.. og så kan det være tonnyb har mere til

ok

Ny log og alle filer i WINDOWS\TEMP er slettet

ogfile of HijackThis v1.99.1
Scan saved at 21:18:58, on 23-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\CWD3DSND.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*zp] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

prøv lige at tryk start-> søg ..søg efter dokumenter og filer .. skriv "GENEREGT.TXT"

Filen GENEREGT.TXT findes ikke

hmm mærkeligt.. lignende plejer at forsvinde via. hijackthis. Har du flere popups?

Under alle omstændigheder så vil jeg anbefale du lige tjekker hele systemet for virus

Download og gem denne scanner på skrivebordet. 
http://www.spywareinfo.dk/download/mwav.exe

genstart i fejlsikret tilstand

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Hvis den stadig ikke er der må den kunne finde i registry

Gem teksten under den stiplede linie som en teskstfil med navnet remove.reg og filtypen alle filer:

Efter du har gemt den, genstarter du i fejlsikret tilstand.

Her dobbeltklikker du filen og siger ja til at tilføje værdierne i reg-basen

-------------------------
REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

Kalp > Denne er speciel. Det er første gang jeg ser den i en HiJackThis log. Det må være en ny feature i HJT at den kan vise den nøgle.

tonnybrandt>> Det må man sige:) er der dog nogen speciel grund til der skal oprettes en reg fil til at fjerne den? istedet for selv at åbne regedit?

Ja, den kan ikke slettes normalt. Kig selv efter hvad det er jeg laver i reg filen og læg mærke til at hijackthis ikke kunne slette den.

tonnybrandt>> hehe ja okay man skal lige knibe øjnene sammen for at kunne se forskel på linjerne:)

Til kalp og tonnybrandt

mwav.exe vil ikke starte på min PC (måske Win98)
jeg har lavet ændringen i reg-basen.
Der har ikke været nogen popup et stykke tid....så jeg håber, at det var det.
Tak for hjælpen

Lad os lige se en ny log, så vi kan se at den reg-nøgle er væk fra loggen.

(også for vores skyld, så vi ved til en anden gang at det reg fix virker)

Og takker for point, forresten :)

Hej tb

hermed loggen, det ser stdig ud til at virke.

Logfile of HijackThis v1.99.1
Scan saved at 00:20:49, on 24-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\CWD3DSND.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMER\INTERNET EXPLORER\DW15.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aeroeportalen.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*ewn] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

Hmm.. den linie er der stadig, så reg-filen virkede ikke.

Klik start | kør, skriv regedit og tryk enter.
Klik rediger | søg og sæt denne tekst ind: GENEREGT.TXT
Når du finder den sletter du den.
Tryk f3 for at fortsætte søgningen. Slet alle forekomster du kan finde.

Lad os så se en ny log efter en genstart.

Her til morgen er den oppe på fuld styrke igen -- surt

Jeg fandt en forekomst af GENEREDT.TXT i reg-basen, som er slettet

Jeg har fikset de linjer i hijackthis som aftalt i det foregående

så hermed en ny log

Logfile of HijackThis v1.99.1
Scan saved at 10:33:10, on 24-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*yfww] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

Hmm.. tænkte nok at den ville give problemer.

Hent dette program og pak det ud til sin egen mappe:

http://members.blackbox.net/hp_links/21/nikolaus.rameis/_data/startdreck.zip

Kør Startdreck.exe - tryk på "Config" - tryk "unmark all" - sæt et flueben i:

Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg loggen herind

Hermed loggen:


StartDreck (build 2.1.7 public stable) - 2005-02-24 @ 11:05:45 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 6.0.2800.1106
Logged in as bruger at 4C6H-PRIV-OWP

»Registry
»Run Keys
  »Current User
  »Run
  »RunOnce
  »Default User
  »Run
  »RunOnce
  »Local Machine
  »Run
    *Skan registreringsdatabase=C:\WINDOWS\scanregw.exe /autorun
    *Job-oversigt=C:\WINDOWS\taskmon.exe
    *SystemTray=SysTray.Exe
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *EM_EXEC=c:\mouse\system\em_exec.exe
    *LoadQM=loadqm.exe
    *HPDJ Taskbar Utility=C:\WINDOWS\SYSTEM\hpztsb04.exe
  »RunOnce
  »RunServices
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *SchedulingAgent=mstask.exe
    *Planlægningsagent=C:\WINDOWS\SYSTEM\mstask.exe
    *McAfeeVirusScanService=C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
    *RNBOStart=C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
  »RunServicesOnce
    **yfww=rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +FFEF14BB=C:\WINDOWS\SYSTEM\KERNEL32.DLL
  +FFFF402B=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  +FFFF579B=C:\WINDOWS\SYSTEM\MPREXE.EXE
  +FFFFF94B=C:\WINDOWS\SYSTEM\mmtask.tsk
  +FFFFD173=C:\WINDOWS\SYSTEM\MSTASK.EXE
  +FFFFB23B=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
  +FFFE7BEB=C:\WINDOWS\RUNDLL32.EXE
  +FFFE2BAF=C:\WINDOWS\EXPLORER.EXE
  +FFFEF717=C:\WINDOWS\TASKMON.EXE
  +FFFE97FF=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  +FFFEFC1F=C:\MOUSE\SYSTEM\EM_EXEC.EXE
  +FFFD605B=C:\WINDOWS\LOADQM.EXE
  +FFFD1CEB=C:\WINDOWS\SYSTEM\HPZTSB04.EXE
  +FFFD4F7F=C:\WINDOWS\SYSTEM\SPOOL32.EXE
  +FFFC71C3=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
  +FFFCEBA3=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
  +FFFCEB4B=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
  +FFFA821B=C:\WINDOWS\SYSTEM\PSTORES.EXE
  +FFF97A2B=C:\WINDOWS\SYSTEM\DDHELP.EXE
  +FFF91E6F=C:\WINDOWS\SYSTEM\HPZSTATX.EXE
  +FFFFB37B=C:\1STEPUNZIP_UNZIPFOLDER\NY1\STARTDRECK.EXE
»Application specific

Vi prøver ...

Kør Startdreck.exe - tryk på "Config" - tryk "unmark all" - sæt et flueben i:

Registry -> Run Keys
System/drivers> Running processes
Tryk "Ok"

Find denne linie og klik på den, så den er markeret med blå:

*yfww=rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject

Tryk på Delete (Hvis du ikke får denne mulighed, skal du bare trykke på Deaktiver/Stop)

Luk programmet ned (tryk på X)

Genstart og kom med en ny HiJackThis log.

Linien er slettet, ny log:

Logfile of HijackThis v1.99.1
Scan saved at 11:31:46, on 24-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServicesOnce: [*ehw] rundll32 C:\WINDOWS\GENEREGT.TXT,DllGetClassObject
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81

Hent dette lille værktøj fra Option^explicit:

http://www.fbeej.dk/Programmer/DllCompare.exe

Kør programmet og klik på Run Locate.com og vent et kort øjeblik (der kommer en meddelelse med blå skrift: "Completed the scan - click compare to continue").

Klik nu på Compare og vent lidt - denne gang tager det nok et par minutter

Når den er færdig med at lede ("completed" med blå skrift), kan du klikke på "Make a Log of what was Found". Nu spørger programmet om du vil se log'en - svar ja og kopier log'en herind.

Den fandt ikke noget,  her er loggen


*    DLLCompare Log version(1.0.0.125)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

860 items found:  860 files, 0 directories.
Total of file sizes:  149.574.506 bytes    142,64 M

--------------------End log---------------------

Tillykke. Den infektion du har fået er så ny at vi ikke engang kender fixet på Spywarefri. Jeg har fundet 2 logs i udenlandske fora hvor problemet bliver løst, så vi prøver at bruge det fix, som blev brugt i de (4 dage gamle) logs *s*

Gem teksten mellem de stiplede linier som remove.reg:

----------------------------------
REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\New Windows]

[-HKEY_CLASSES_ROOT\CLSID\{066FEBCA-85A0-11D9-88B4-00041A23780E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{066FEBCA-85A0-11D9-88B4-00041A23780E}]

[-HKEY_CLASSES_ROOT\CLSID\{D55E43D0-8438-11D9-9E96-00044DD7FB1D}]

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]

[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sp"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

----------------------------------

Genstart, og når "starter windows 98" vises trykker du F8 og vælger "kun kommandoprompt".

Du skriver nu disse linier en ad gangen og trykker enter for hver linie:

attrib -h -s -r c:\windows\system\GENEREGT.txt
delete c:\windows\system\GENEREGT.txt

Genstart i fejlsikret tilstand og dobbeltklik remove.reg som du lavede tidligere.

Genstart i normal tilstand og dobbeltklik remove.reg igen.

Genstart endnu engang og kom med en ny log fra både HiJackThis og startdreck.

Det er hermed gjort, filen generegt.txt lå i bib. windows men er slettet.

Her de to logs, og det ser oj fint ud!


Logfile of HijackThis v1.99.1
Scan saved at 13:25:57, on 24-02-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\MOUSE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
D:\DOKUMENTER\MARSTAL NAVIGATIONSSKOLE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.139.109,131.165.63.81
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Planlægningsagent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} (CSMenu Class) - https://business.bgbank.dk/html/activex/BG/Menu.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.139.109,131.165.63.81


StartDreck (build 2.1.7 public stable) - 2005-02-24 @ 13:25:27 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 6.0.2800.1106
Logged in as bruger at 4C6H-PRIV-OWP

»Registry
»Run Keys
  »Current User
  »Run
  »RunOnce
  »Default User
  »Run
  »RunOnce
  »Local Machine
  »Run
    *Skan registreringsdatabase=C:\WINDOWS\scanregw.exe /autorun
    *Job-oversigt=C:\WINDOWS\taskmon.exe
    *SystemTray=SysTray.Exe
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *EM_EXEC=c:\mouse\system\em_exec.exe
    *LoadQM=loadqm.exe
    *HPDJ Taskbar Utility=C:\WINDOWS\SYSTEM\hpztsb04.exe
  »RunOnce
  »RunServices
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *SchedulingAgent=mstask.exe
    *Planlægningsagent=C:\WINDOWS\SYSTEM\mstask.exe
    *McAfeeVirusScanService=C:\Programmer\Network Associates\VirusScan\AVSYNMGR.EXE
    *RNBOStart=C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
  »RunServicesOnce
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +FFEF146D=C:\WINDOWS\SYSTEM\KERNEL32.DLL
  +FFFF40FD=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  +FFFF574D=C:\WINDOWS\SYSTEM\MPREXE.EXE
  +FFFFB2AD=C:\WINDOWS\SYSTEM\mmtask.tsk
  +FFFFC51D=C:\WINDOWS\SYSTEM\MSTASK.EXE
  +FFFFFA21=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
  +FFFFD4E1=C:\WINDOWS\EXPLORER.EXE
  +FFFE8D35=C:\WINDOWS\TASKMON.EXE
  +FFFE94E9=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  +FFFED201=C:\MOUSE\SYSTEM\EM_EXEC.EXE
  +FFFED335=C:\WINDOWS\LOADQM.EXE
  +FFFD399D=C:\WINDOWS\SYSTEM\HPZTSB04.EXE
  +FFFEC791=C:\WINDOWS\SYSTEM\SPOOL32.EXE
  +FFFED0CD=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
  +FFFCA0A9=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
  +FFFCA1D1=C:\PROGRAMMER\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
  +FFFBA5CD=C:\1STEPUNZIP_UNZIPFOLDER\NY1\STARTDRECK.EXE
»Application specific

Ups, det er da korrekt. Det var da i c:\windows den lå. Sorry.

Tjaa.. det ser jo fornuftigt ud = Loggen er ren.

Du vender lige tilbage med en melding hvis den nu begynder at skabe sig igen *s*

Nå ja, det var vel også derfor at dllcompare ikke fandt den. Den søger jo også (pr default) i systembiblioteket.

Nå nej - det jeg skrev der var vidst noget vås :-)

Jeg valgte ikke at kommentere dit indlæg, da jeg faktisk ikke selv var sikker på hvor den søgte *s*

tonnybrandt: Alt i orden :-) Jeg prøvede det efter på en Win98-computer, og det er faktisk rigtig nok at den søger i C:\windows\system. Men når jeg mener at det er noget vås hvad jeg skrev så er det fordi det vel ikke er sikkert at den dll-fil, der beskyttede GENEREGT.txt også lå ude i c:\windows
:-)