CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede peter100 Nybegynder
13. marts 2005 - 19:29 Der er 9 kommentarer og
1 løsning

Hjælp - min computer er ramt af virus

Hejsa

Håber der er et geni der kan hjælpe mig med denne log.
Der er vist ingen tvivl om at min computer er ramt af virus.

Hilsen
Peter

Logfile of HijackThis v1.97.7
Scan saved at 19:24:18, on 13-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\EzButton\OneTouch.EXE
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\Services\{4F9B1675-D17D-4DA2-BFCF-720F5D7DDBF7}\SVCHOST.EXE
C:\WINDOWS\process.exe
C:\WINDOWS\nmstt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\Programmer\Microsoft Office\Office\MSOFFICE.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Microsoft Office\Office\OSA.EXE
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Peter Røhl\Skrivebord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {01588D58-8563-4B2E-8515-9202528B6AD6} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {031986FD-641E-49AA-9FFD-A79E708C2EE4} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {11521DF2-1A40-4ECB-943F-096500C6525A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {184ADCFD-2119-4824-8886-262CD5743895} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {193B8365-D7E6-419F-BF2B-E3DF7455C068} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {1A849CE3-2174-45AC-8FAB-EC2764A9C1A4} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {1E9A8C78-C600-4055-B5AF-A103380EDA86} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {267B36F1-A702-429E-B963-2C4040A2C956} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {2A329137-AA14-453F-B16E-DBF7DB027ACD} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {36DEA06C-D8B2-4514-B46C-6BEBC8387DB0} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {4BB31863-4807-426B-B0AD-CBFD5E3C027E} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {4CA391DC-07B7-488A-BA9E-9827B190067A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {55F1FE94-2E09-48AC-AFDB-7D53E5959C1F} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {59B9E05F-9615-47D7-AB67-1C2269768A6A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {5F145A4D-8036-4BE7-A589-060D10B013F2} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {61042C65-5121-47C7-AB25-55D606115832} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6626A6FE-6AC9-4C6F-BB3C-F6D8888420CC} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6B2CDB89-F315-41ED-BDC0-A0E5ECC61FE2} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6F82667B-1E78-432F-8E78-40FA117617C1} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {7CBE4155-A7BF-4B58-9E3A-E92189C828D6} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {834788A5-226B-4C57-B0E7-23A9BE0692E1} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {87E3A590-7376-45D5-85D5-71A8AB59ABFE} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {916B4CBA-FD85-4E5C-8772-45AC99C70657} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {9479732F-A491-4DB5-93BB-A71C1F755FAF} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {977CD688-5EAA-4748-8EE3-AB86C534197B} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {AA0A3768-FCE7-496D-8433-BBCBA75C78DB} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BE626936-1ABA-4DF7-8F0C-D981B6163CC9} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BE91EFBB-9758-4F69-B045-27D246AFBD89} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BEB98725-6368-42B3-B3C0-EE333EB479DC} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BF5B72EC-A6C6-4A24-91D3-8C7ABBF6ED90} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {C06DC88B-620E-4B09-B09E-7357CD04809A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {CB2FE766-D5AB-4772-843B-F2C375B2AE97} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {CDC23C8C-B2D6-402E-9526-C0962DDA7612} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {D1845F19-A014-4E11-B88D-6D4DB4D36FF9} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {DA94EEBE-1EAB-47AF-8E1B-9985D3DD0255} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {DC3DA122-F9DF-4873-B63D-C4D95A3F1632} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E338DCA3-80AB-46C6-930C-7A9F6B460218} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E4374E2A-1695-4EA8-AE61-5FBD65A37190} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E9F2A7EA-6E8C-43A6-B569-416D45B90456} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {EE37C16F-CAB6-40D2-886C-2A042A51E12A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {F54B7F87-F90D-4F0A-ACC6-F5CC23C7EFAD} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {FBD99D68-E67C-4194-BD23-5C1DB2B18645} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {FCD6D977-C0D1-4DC0-BAC6-896787455A79} - C:\WINDOWS\System32\caafo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programmer\IEMenuExtension\tbextn.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\EzButton\OneTouch.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{4F9B1675-D17D-4DA2-BFCF-720F5D7DDBF7}\SVCHOST.EXE
O4 - HKLM\..\Run: [process.exe] C:\WINDOWS\process.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BLMessagingIntegration] C:\Programmer\Common Files\PSD Tools\blengine.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office Programlinje.lnk = C:\Programmer\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
Avatar billede tonnybrandt Nybegynder
13. marts 2005 - 19:36 #1
jeg kigger lige på den
Avatar billede tonnybrandt Nybegynder
13. marts 2005 - 19:47 #2
Hent den nyeste version af HiJackThis her:
http://danborg.org/spy/HJT/hijackthis.exe
Herefter skal du kun bruge den. Den anden er for gammel og ikke alt kan ses i den.

Hent Aboutbuster:
http://www.malwarebytes.biz/AboutBuster.zip
(pak Aboutbuster ud til sin egen mappe på Skrivebordet).

Hent cwsserviceremove.reg her:
http://www.fbeej.dk/Programmer/cwsserviceremove.zip
(pak cwsserviceremove.zip ud til Skrivebordet)

... og hent Deldomains herfra:
http://www.greyknight17.com/spy/DelO15Domains.inf

Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra.

For at kunne se alle filer:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i Fejlsikret tilstand, ved at taste F8 under opstart og vælge Fejlsikret tilstand.

Gå i Start -> Kør og skriv Services.msc

Se om du kan finde én af disse services:

Workstation NetLogon Service
Network Security Service
Remote Procedure Call (RPC) Helper
Remote Access Service

...på listen. Hvis du finder én af dem - Højreklik på den og vælg Egenskaber - klik på "Stop" og vælg Starttype "Deaktiveret" - klik Anvend og OK. Luk service vinduet.

Kør HijackThis, scan og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\PETERR~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {01588D58-8563-4B2E-8515-9202528B6AD6} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {031986FD-641E-49AA-9FFD-A79E708C2EE4} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {11521DF2-1A40-4ECB-943F-096500C6525A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {184ADCFD-2119-4824-8886-262CD5743895} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {193B8365-D7E6-419F-BF2B-E3DF7455C068} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {1A849CE3-2174-45AC-8FAB-EC2764A9C1A4} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {1E9A8C78-C600-4055-B5AF-A103380EDA86} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {267B36F1-A702-429E-B963-2C4040A2C956} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {2A329137-AA14-453F-B16E-DBF7DB027ACD} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {36DEA06C-D8B2-4514-B46C-6BEBC8387DB0} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {4BB31863-4807-426B-B0AD-CBFD5E3C027E} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {4CA391DC-07B7-488A-BA9E-9827B190067A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {55F1FE94-2E09-48AC-AFDB-7D53E5959C1F} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {59B9E05F-9615-47D7-AB67-1C2269768A6A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {5F145A4D-8036-4BE7-A589-060D10B013F2} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {61042C65-5121-47C7-AB25-55D606115832} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6626A6FE-6AC9-4C6F-BB3C-F6D8888420CC} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6B2CDB89-F315-41ED-BDC0-A0E5ECC61FE2} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {6F82667B-1E78-432F-8E78-40FA117617C1} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {7CBE4155-A7BF-4B58-9E3A-E92189C828D6} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {834788A5-226B-4C57-B0E7-23A9BE0692E1} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {87E3A590-7376-45D5-85D5-71A8AB59ABFE} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {916B4CBA-FD85-4E5C-8772-45AC99C70657} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {9479732F-A491-4DB5-93BB-A71C1F755FAF} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {977CD688-5EAA-4748-8EE3-AB86C534197B} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {AA0A3768-FCE7-496D-8433-BBCBA75C78DB} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BE626936-1ABA-4DF7-8F0C-D981B6163CC9} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BE91EFBB-9758-4F69-B045-27D246AFBD89} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BEB98725-6368-42B3-B3C0-EE333EB479DC} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {BF5B72EC-A6C6-4A24-91D3-8C7ABBF6ED90} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {C06DC88B-620E-4B09-B09E-7357CD04809A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {CB2FE766-D5AB-4772-843B-F2C375B2AE97} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {CDC23C8C-B2D6-402E-9526-C0962DDA7612} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {D1845F19-A014-4E11-B88D-6D4DB4D36FF9} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {DA94EEBE-1EAB-47AF-8E1B-9985D3DD0255} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {DC3DA122-F9DF-4873-B63D-C4D95A3F1632} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E338DCA3-80AB-46C6-930C-7A9F6B460218} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E4374E2A-1695-4EA8-AE61-5FBD65A37190} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {E9F2A7EA-6E8C-43A6-B569-416D45B90456} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {EE37C16F-CAB6-40D2-886C-2A042A51E12A} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {F54B7F87-F90D-4F0A-ACC6-F5CC23C7EFAD} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {FBD99D68-E67C-4194-BD23-5C1DB2B18645} - C:\WINDOWS\System32\caafo.dll
O2 - BHO: (no name) - {FCD6D977-C0D1-4DC0-BAC6-896787455A79} - C:\WINDOWS\System32\caafo.dll
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{4F9B1675-D17D-4DA2-BFCF-720F5D7DDBF7}\SVCHOST.EXE
O4 - HKLM\..\Run: [process.exe] C:\WINDOWS\process.exe
O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB
O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
O4 - HKCU\..\Run: [BLMessagingIntegration] C:\Programmer\Common Files\PSD Tools\blengine.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [OLEDb Service] C:\WINDOWS\System32\runoledb32.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
Find og slet

Filerne:
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\process.exe
C:\WINDOWS\nmstt.exe
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\runoledb32.exe


Og mappen:
C:\WINDOWS\System32\Services\{4F9B1675-D17D-4DA2-BFCF-720F5D7DDBF7}
C:\PROGRA~1\IEMENU~1
C:\Programmer\Common Files\PSD Tools


Dobbeltklik på cwsserviceremove.reg, som du hentede i begyndelsen.

Kør AboutBuster - to gange.
- klik OK
- klik Start og OK for at scanne for Alternate Data Streams
- klik Yes for at tillade nedlukning af Explorer.exe
- klik Yes for at tillade nr. 2 scanning.

Højreklik på DelO15domains.inf og vælg installer. Du skal være opmærksom på, at programmet fjerner alle linier fra "ZoneMap\Domains", hvilket betyder, at du skal geninstallere IESpyad og lignende programmer, der lægger snavsede adresser ind i den Klassificerede zone for at passe på dig (Spywareblaster skal blot køres, og sætte til at beskytte igen).

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Genstart i Normal tilstand. Kør en Antivirus scanning her:

http://housecall.trendmicro.com/housecall/start_corp.asp

Efter scanning, kør HijackThis og læg en frisk log herind. Fortæl os om eventuelle problemer med instruktionen.
Avatar billede peter100 Nybegynder
14. marts 2005 - 17:32 #3
Jeg har tilsyneladende to problemer endnu.

1) jeg kan ikke få lov til at opdatere Trendmicro - har prøvet at fjerne min
firewall. Prøvede alligevel at skanne i går. Afbrød efter 3-4 timer. Skal det
tage så lang tid ????

2) skrivebordet er sort og indeholder en boks der starter med -->
"warning" you are in danger m.m.
Avatar billede tonnybrandt Nybegynder
14. marts 2005 - 19:55 #4
1. Så spring over denne scanning.

2. Brug denne vejledning til at fjerne snavset på skrivebordet:
Klik start | indstillinger | kontrolpanel | skærm.
Klik fanebladet skrivebord.
Klik knappen tilpas skrivebordet.
Klik fanebladet web.
Hvis der står nogen websider i den hvide boks, så marker dem og klik slet.
Klik ok
Vælg nu en anden baggrund og klik anvend og ok.

Kom med en ny HiJackThis log så vi kan se om der er noget tilbage.
Avatar billede peter100 Nybegynder
14. marts 2005 - 22:09 #5
Her er en HiJackThis efter gennemgangen.

Logfile of HijackThis v1.99.1
Scan saved at 22:05:47, on 14-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Peter Røhl\Skrivebord\HijackThis.exe

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
Avatar billede tonnybrandt Nybegynder
14. marts 2005 - 23:42 #6
Tjaa.. loggen er jo ren, men det ser ud til at du har taget alt for meget med.

Du skulle kun fixe det jeg skrev !!

Start hijackthis op og klik config | backups, find hver af følgende linier, marker dem en for en og tryk restore:

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\EzButton\OneTouch.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office Programlinje.lnk = C:\Programmer\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE

Kom med en ny log bagefter
Avatar billede peter100 Nybegynder
15. marts 2005 - 16:53 #7
Ups....

Så skulle det hele være med.

Logfile of HijackThis v1.99.1
Scan saved at 16:52:34, on 15-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Peter Røhl\Skrivebord\HijackThis.exe

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CP4HPOT] C:\PROGRA~1\EzButton\OneTouch.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Microsoft Hurtig søgning.lnk = C:\Programmer\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office Programlinje.lnk = C:\Programmer\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office-start.lnk = C:\Programmer\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
Avatar billede tonnybrandt Nybegynder
15. marts 2005 - 17:06 #8
Det var bedre *s*

Og loggen er stadig ren.

Efter sådan en tur er det altid en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)

Du kan evt installere nogle af programmerne i spywarefri pakken..de er alle små, konflikter ikke og er meget effektive mod snavs af den slags du lige har været angrebet af.

Specielt anbefaler vi Spybot,spywareblaster, IE-Spyad og spywareguard.
Se mere i "pakken" her
http://www.spywarefri.dk/pakken.htm
Avatar billede peter100 Nybegynder
15. marts 2005 - 17:22 #9
tak for hjælpen

Skal lige høre hvad i kan bruge jeres optjente point til :-))

Peter
Avatar billede tonnybrandt Nybegynder
15. marts 2005 - 17:36 #10
Velbekomme og takker for point :)

Tjaa.. de kan faktisk ikke bruges til noget, andet end vi kan stille spørgsmål for dem. Jo, hvis man er mellem de 100 der optjener flest point på en måned, har man så gratis PRO medlemskab den næste måned.

Men ellers er det blot et eller andet med status og en rangstige.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 09:49 Hvad gør dine vægge personlige? Af Marcus Rull i Foto & video
I går 16:08 Datavalidering med tekst Af h_s i Excel
I går 07:56 Lidt formelhjælp (entydige) Af boro23 i Excel
18/0615:27 Indstil størrelse af foto på låseskærm Windows 11 Af Uvanga i Windows
18/0611:09 Windoes 11 Eu kontra Windows 11us Af skolevej321 i Windows
White papers
Flere white papers »


Premium
Teaser billede
DR trækker stort it-udbud tilbage med omgående virkning
Læs mere »
Det danske cloud-marked er totalt uigennemskueligt: Selv erfarne it-folk forstår ikke regningen
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Stort temanummer: Her er de store dagsordener for Danmarks allerbedste CIO'er
Se alle »
Computerworld
Teaser billede
Første AI-angreb uden klik: En fjendtlig e-mail i indbakken udløser Copilot til at stjæle følsomme virksomhedsdata
Læs mere »
Larry Ellison er blevet 165 milliarder kroner rigere på få timer: Er nu pludselig verdens næstrigeste mand
Nørgaard på Folkemødet: Jeg fik fortalt en vild tese på Sofie’s Garage i går – og hørte en lobbyist hallucinere mere end ChatGPT 4o
Millioner af franskmænd bruger dagligt disse tre sider – men nu er der blokeret for adgangen
Se alle »
CIO
Teaser billede
Her er den løsning, som skal erstatte Microsoft Office for alle medarbejdere i Digitaliseringsministeriet
Læs mere »
Lad nu være med at bruge kræfter på at forsøge at droppe Microsoft: "Det er simpelthen energi brugt forkert"
Sådan tacklede Bauhaus-CIO Niels Nielsen stort ransomware-angreb: ”De krypterede vores VMWare-miljø med over 200 servere”
Borgmester går mod strømmen og vil ikke frigøre kommunen fra Microsoft: "Vi har ikke noget alternativ"
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
NNIT har fyret 100 medarbejdere - nedjusterer markant
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Har fælles fortid i Devoteam: Nu etablerer disse fire tunge it-profiler nyt dansk konsulenthus - ser et hul i markedet
Se alle »
White paper
Teaser billede
Undgå at printeren bliver svageste led i sikkerheden
Læs mere »
IT i front: Sådan bliver netværk en strategisk driver
NIS2: Sådan styrker du både cybersikkerhed og compliance
Sådan samler du virtualisering og containerdrift i én løsning
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »