Venligst tjek af logfil

jeg ser p å den

Send mig lige en ny log... med det nye hijackthis

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord
http://downloadportal.dk/showdownload.asp?rid=4212&sp=Hijackthis
eller
http://www.downloadportal.dk/showdownload.asp?rid=4234&sp=title

Ka' de dog ikke snart lære det - samme plade:

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
[1Klik.dk: Ubeskyttede pc’er holder i 20 minutter]:
http://1klik.dk/news_1klik/nyhed_32992.html

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner.

Du kan hente SP2 her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende medie.
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.

Good Luck... men først når putter er erklæret 'ren' ... Du har nemlig en DEL (=meget) snavs på din putter...

(Tja - hvis du ikke får dette gennemført ses vi nok snart igen...i virus kategorien?)

----

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\U6EUN9~1.DLL
O4 - HKLM\..\Run: [IE6] gscon.exe
O4 - HKLM\..\Run: [Winupdate Service] winxp2.exe
O4 - HKLM\..\Run: [USB Device] win32usb.exe
O4 - HKLM\..\Run: [Cryptographic Service] D:\WINDOWS\System32\xcvmbppa.exe
O4 - HKLM\..\Run: [saap] d:\windows\saap.exe
O4 - HKLM\..\Run: [Bkd] D:\WINDOWS\Krl.exe
O4 - HKLM\..\Run: [BullsEye Network] D:\Programmer\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKLM\..\Run: [ap9h4qmo] D:\WINDOWS\System32\ap9h4qmo.exe 
O4 - HKLM\..\Run: [Tgp] D:\WINDOWS\Lno.exe
O4 - HKLM\..\Run: [Flh] D:\WINDOWS\System32\Pih.exe
O4 - HKLM\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKLM\..\Run: [Ctf] D:\WINDOWS\System32\Ctk.exe
O4 - HKLM\..\Run: [shin] D:\WINDOWS\shin.exe
O4 - HKLM\..\Run: [Control handler] D:\WINDOWS\System32\n5l5l224ypthd.exe
O4 - HKLM\..\RunServices: [IE6] gscon.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKLM\..\RunServices: [USB Device] win32usb.exe
O4 - HKLM\..\RunServices: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [USB Device] win32usb.exe
O4 - HKCU\..\Run: [Bkd] D:\WINDOWS\Krl.exe
O4 - HKCU\..\Run: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Mobs] D:\Documents and Settings\Michael Rex Sørensen\Application Data\orec.exe
O4 - HKCU\..\Run: [Sgslq] D:\WINDOWS\System32\l?gonui.exe
O4 - HKCU\..\Run: [Tgp] D:\WINDOWS\Lno.exe
O4 - HKCU\..\Run: [Flh] D:\WINDOWS\System32\Pih.exe
O4 - HKCU\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKCU\..\Run: [Ctf] D:\WINDOWS\System32\Ctk.exe

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet

D:\windows\saap.exe
D:\WINDOWS\Krl.exe
D:\WINDOWS\System32\Pih.exe
D:\WINDOWS\Lno.exe
D:\WINDOWS\System32\ap9h4qmo.exe
D:\WINDOWS\System32\ntddetect.exe
D:\Documents and Settings\Michael Rex Sørensen\Application Data\orec.exe
D:\WINDOWS\System32\l?gonui.exe
D:\WINDOWS\System32\n5l5l224ypthd.exe
D:\WINDOWS\System32\U6EUN9~1.DLL
D:\WINDOWS\System32\xcvmbppa.exe
D:\WINDOWS\System32\Ctk.exe
D:\WINDOWS\shin.exe

Søg efter winxp2.exe  win32usb.exe og gscon.exe og slet dem

Find og slet Mapperne (afinstaller i tilføj og fjern programmer hvis den er der (under kontrolpanelet) og ellers slet mappen. evt begge dele

hvis muligt:)

D:\Programmer\BullsEye Network

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Slet alt den finder..

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik det hele med eller om noget er blevet overset:) (husk det skal være med det nye hijackthis)

Glæder mig at I kan se at jeg har problemer :-)

Jeg har 2 styresystemer på min pc xp pro engelsk, og xp pro dansk.

Jeg bruger normalt den engelske, som naturligvis er opdateret med servicepack 2, firewalls, norton antivirus, osv. MEN i går forlangte systemet pludseligt en aktivering af windows xp engelske version, og min normale product key bliver ikke accepteret. Hvorfor ved jeg ikke, derfor er jeg hoppet over på den danske xp version,som jeg ikke har brugt på nettet i laaang tid, hvorfor jeg naturigvis startede med at opdatere den hos microsoft. Har også downloaded servicepack 2, men midtvejs i installationen bliver jeg smidt af pga product key'en igen.
Jeg må jo begynde et sted med oprydningen, og har brugt div. programmer fra www.arlet.dk, men er ikke helt fortrolig med hijackthis programmet. Så derfor, Majsmarken :-)

Mit skrivebord samt min startside er desværre stadig tvungen, men her er en ny log:

Logfile of HijackThis v1.97.7
Scan saved at 21:14:41, on 19-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\Kvo.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\Michael Rex Sørensen\Dokumenter\hjt Hiackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\W8C6S4~1.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKLM\..\Run: [shin] D:\WINDOWS\shin.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKLM\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKLM\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKLM\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKLM\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKLM\..\RunServices: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKCU\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKCU\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKCU\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKCU\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKCU\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

okay så må du lige gøre mig den tjeneste jeg hele tiden har bedt dig om.. komme med en log fra det nye hijackthis for jeg kan overhovedet ikke se alt der er af snavs:) der er stadig meget i den der.. men nyt hijackthis tak!

... men du vil med stor/rimelig stor sansynlighed få samme størrelsesorden af "snavs" igen hvis du ikke får SP1/SP2 på ... Når du allerede efter kort tid (så vidt jeg ka' forstår) har fået så meget "snavs" på, så kommer det hurtigt igen efter denne oprydning... Så er du advaret; er oplevet mange gange ikke kun her på eksperten...
<kalp> ka' måske bekræfte dette på en eller anden vis ?

majsmarken jeg her helt enig:)) men det lyder som om at spørgeren også normalt har det pga.

mimerbenz
19/03-2005 19:42:51

Indrømmer at det ikke ser for godt ud..

En ny log her:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:17, on 19-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\Kvo.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\W8C6S4~1.DLL (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKLM\..\Run: [shin] D:\WINDOWS\shin.exe
O4 - HKLM\..\Run: [Security iGuard] D:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKLM\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKLM\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKLM\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKLM\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - HKLM\..\Run: [Hlk] D:\WINDOWS\Hes.exe
O4 - HKLM\..\Run: [Fpm] D:\WINDOWS\Eps.exe
O4 - HKLM\..\Run: [Tfh] D:\WINDOWS\Esj.exe
O4 - HKLM\..\Run: [Ege] D:\WINDOWS\Rhm.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKLM\..\RunServices: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKCU\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKCU\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKCU\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKCU\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKCU\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - HKCU\..\Run: [Hlk] D:\WINDOWS\Hes.exe
O4 - HKCU\..\Run: [Fpm] D:\WINDOWS\Eps.exe
O4 - HKCU\..\Run: [Tfh] D:\WINDOWS\Esj.exe
O4 - HKCU\..\Run: [Ege] D:\WINDOWS\Rhm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - AppInit_DLLs: c2cdnp9pr68pyjll.dll.dll
O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe

... og der ser den endnu værre ud... Hvad har du dog gjort for at få alt det ?
<kalp> kommer sansynligvis med proceduren (lang)...

Ja jeg kigger på den nu:) og se derfor jeg ville have den nye version! ellers ville vi aldrig blive færdige:o)!!!

Beklager, men kan som sagt ikke installere servicepack 2. Under installationen kommer der en promt op, hvor min product key er ugyldig?? Prøvede at finde en key på Astalavista, og der er vist en del snavs der.

Download DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
eller
http://www.greyknight17.com/spy/DelO15Domains.inf

Højreklik på DelDomains.inf og vælg: Install

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=293
O4 - HKLM\..\Run: [shin] D:\WINDOWS\shin.exe
O4 - HKLM\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKLM\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKLM\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKLM\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKLM\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKLM\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - HKLM\..\Run: [Hlk] D:\WINDOWS\Hes.exe
O4 - HKLM\..\Run: [Hlk] D:\WINDOWS\Hes.exe
O4 - HKLM\..\Run: [Tfh] D:\WINDOWS\Esj.exe
O4 - HKLM\..\Run: [Ege] D:\WINDOWS\Rhm.exe
O4 - HKLM\..\RunServices: [Winupdate Service] winxp2.exe
O4 - HKLM\..\RunServices: [ntddetect] D:\WINDOWS\System32\ntddetect.exe
O4 - HKCU\..\Run: [Sfg] D:\WINDOWS\System32\Kvo.exe
O4 - HKCU\..\Run: [Pfj] D:\WINDOWS\System32\Udo.exe
O4 - HKCU\..\Run: [Rtp] D:\WINDOWS\Nsg.exe
O4 - HKCU\..\Run: [Gui] D:\WINDOWS\System32\Aoa.exe
O4 - HKCU\..\Run: [Kbv] D:\WINDOWS\Dur.exe
O4 - HKCU\..\Run: [Dif] D:\WINDOWS\System32\Tjb.exe
O4 - HKCU\..\Run: [Hlk] D:\WINDOWS\Hes.exe
O4 - HKCU\..\Run: [Fpm] D:\WINDOWS\Eps.exe
O4 - HKCU\..\Run: [Fpm] D:\WINDOWS\Eps.exe
O4 - HKCU\..\Run: [Ege] D:\WINDOWS\Rhm.exe
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O20 - AppInit_DLLs: c2cdnp9pr68pyjll.dll.dll
O20 - Winlogon Notify: draw32 - D:\WINDOWS\SYSTEM32\draw32.dll
O23 - Service: ZESOFT - Unknown owner - D:\WINDOWS\zeta.exe

Højreklik på DelDomains.inf og vælg: Install

Find og slet alle disse filer

D:\WINDOWS\shin.exe
D:\WINDOWS\System32\Kvo.exe
D:\WINDOWS\System32\Udo.exe
D:\WINDOWS\System32\Udo.exe
D:\WINDOWS\System32\Aoa.exe
D:\WINDOWS\Dur.exe
D:\WINDOWS\System32\Tjb.exe
D:\WINDOWS\Hes.exe
D:\WINDOWS\Esj.exe
D:\WINDOWS\Rhm.exe
winxp2.exe
D:\WINDOWS\System32\ntddetect.exe
D:\WINDOWS\System32\Kvo.exe
D:\WINDOWS\System32\Udo.exe
D:\WINDOWS\Nsg.exe
D:\WINDOWS\System32\Aoa.exe
D:\WINDOWS\Dur.exe
D:\WINDOWS\System32\Tjb.exe
D:\WINDOWS\Hes.exe
D:\WINDOWS\Eps.exe
D:\WINDOWS\Rhm.exe
D:\WINDOWS\SYSTEM32\draw32.dll
D:\WINDOWS\SYSTEM32\draw32.dll
c2cdnp9pr68pyjll.dll

De filer uden sti søger du efter.

Genstart normalt og ny log.. hvis du ikke kørte mwav sidst så gør det lige:)

... dvs - det er ikke en original XP DK (CD) du har MED "product key" ?
Hmmm...

Efter manuel rensning ser den nye logfil således ud:

Logfile of HijackThis v1.99.1
Scan saved at 14:02:48, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\Qmv.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 3 for hijackthis.zip\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Hrc] D:\WINDOWS\System32\Lho.exe
O4 - HKLM\..\Run: [Hsr] D:\WINDOWS\System32\Sjo.exe
O4 - HKLM\..\Run: [Gil] D:\WINDOWS\System32\Ffv.exe
O4 - HKLM\..\Run: [Kmm] D:\WINDOWS\System32\Aea.exe
O4 - HKLM\..\Run: [Vbd] D:\WINDOWS\System32\Otd.exe
O4 - HKLM\..\Run: [Pfm] D:\WINDOWS\System32\Vtd.exe
O4 - HKLM\..\Run: [Aig] D:\WINDOWS\Cab.exe
O4 - HKLM\..\Run: [Dik] D:\WINDOWS\Ejt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Hrc] D:\WINDOWS\System32\Lho.exe
O4 - HKCU\..\Run: [Hsr] D:\WINDOWS\System32\Sjo.exe
O4 - HKCU\..\Run: [Gil] D:\WINDOWS\System32\Ffv.exe
O4 - HKCU\..\Run: [Kmm] D:\WINDOWS\System32\Aea.exe
O4 - HKCU\..\Run: [Vbd] D:\WINDOWS\System32\Otd.exe
O4 - HKCU\..\Run: [Pfm] D:\WINDOWS\System32\Vtd.exe
O4 - HKCU\..\Run: [Aig] D:\WINDOWS\Cab.exe
O4 - HKCU\..\Run: [Dik] D:\WINDOWS\Ejt.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Ser da lidt bedre ud

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:

O4 - HKLM\..\Run: [Rvs] D:\WINDOWS\Qmv.exe
O4 - HKLM\..\Run: [Hrc] D:\WINDOWS\System32\Lho.exe
O4 - HKLM\..\Run: [Hsr] D:\WINDOWS\System32\Sjo.exe
O4 - HKLM\..\Run: [Gil] D:\WINDOWS\System32\Ffv.exe
O4 - HKLM\..\Run: [Kmm] D:\WINDOWS\System32\Aea.exe
O4 - HKLM\..\Run: [Vbd] D:\WINDOWS\System32\Otd.exe
O4 - HKLM\..\Run: [Pfm] D:\WINDOWS\System32\Vtd.exe
O4 - HKLM\..\Run: [Aig] D:\WINDOWS\Cab.exe
O4 - HKLM\..\Run: [Dik] D:\WINDOWS\Ejt.exe
O4 - HKCU\..\Run: [Hrc] D:\WINDOWS\System32\Lho.exe
O4 - HKCU\..\Run: [Hrc] D:\WINDOWS\System32\Lho.exe
O4 - HKCU\..\Run: [Gil] D:\WINDOWS\System32\Ffv.exe
O4 - HKCU\..\Run: [Kmm] D:\WINDOWS\System32\Aea.exe
O4 - HKCU\..\Run: [Vbd] D:\WINDOWS\System32\Otd.exe
O4 - HKCU\..\Run: [Pfm] D:\WINDOWS\System32\Vtd.exe
O4 - HKCU\..\Run: [Aig] D:\WINDOWS\Cab.exe
O4 - HKCU\..\Run: [Dik] D:\WINDOWS\Ejt.exe

så skal du også bare lige finde dem i windows.. og slette dem

Hent KillBox her:
http://download.broadbandmedic.com/ el. her hvis første link ikke virker:
http://www.spywareinfo.dk/download/KillBox.zip

Slet de filer som skulle volde dig problemer med killbox.. vælge delete on reboot.

Ny log.

Mit skrivebord er stadig rødt med en sort kvadrat, hvorpå der står: Danger: Spyware fra et firma der hedder "Smartsecurity".

Logfile of HijackThis v1.99.1
Scan saved at 18:49:25, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\Urg.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKLM\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKLM\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKLM\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKLM\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKLM\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKCU\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKCU\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKCU\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKCU\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKCU\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Genstart i fejlsikret tilstand..

kør MWAV som sidst. kom med en ny log efterfølgende.. synes det for overdrevet det der.

Endnu en log efter kørsel af MWAV - måske en formatering nærmer sig?

Logfile of HijackThis v1.99.1
Scan saved at 21:43:16, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\Urg.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 4 for hijackthis.zip\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKLM\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKLM\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKLM\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKLM\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKLM\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - HKLM\..\Run: [Gmj] D:\WINDOWS\System32\Iqh.exe
O4 - HKLM\..\Run: [Gni] D:\WINDOWS\System32\Rfr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKCU\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKCU\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKCU\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKCU\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKCU\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - HKCU\..\Run: [Gmj] D:\WINDOWS\System32\Iqh.exe
O4 - HKCU\..\Run: [Gni] D:\WINDOWS\System32\Rfr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Fix i fejlsikret tilstand

O4 - HKLM\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKLM\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKLM\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKLM\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKLM\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKLM\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - HKLM\..\Run: [Gmj] D:\WINDOWS\System32\Iqh.exe
O4 - HKLM\..\Run: [Gni] D:\WINDOWS\System32\Rfr.exe
O4 - HKCU\..\Run: [Ijk] D:\WINDOWS\System32\Urg.exe
O4 - HKCU\..\Run: [Fnn] D:\WINDOWS\System32\Mfq.exe
O4 - HKCU\..\Run: [Mpf] D:\WINDOWS\System32\Cig.exe
O4 - HKCU\..\Run: [Foc] D:\WINDOWS\Svq.exe
O4 - HKCU\..\Run: [Pci] D:\WINDOWS\System32\Uln.exe
O4 - HKCU\..\Run: [Dvo] D:\WINDOWS\Pvb.exe
O4 - HKCU\..\Run: [Gmj] D:\WINDOWS\System32\Iqh.exe
O4 - HKCU\..\Run: [Gni] D:\WINDOWS\System32\Rfr.exe

find så og slet dem.. finder du dem overhovedet? *G* for det er da underligt der er så meget hele tiden!!!

Mon der er en vis renhed på vej.

Ny log

Logfile of HijackThis v1.97.7
Scan saved at 22:23:09, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Documents and Settings\Michael Rex Sørensen\Dokumenter\hjt Hiackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab

tror jeg ikke.. du har bare brugt en gammel version af hijackthis *G* ny log!

Logfile of HijackThis v1.99.1
Scan saved at 22:30:53, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\Cmh.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Windows NT\Tilbehør\WORDPAD.EXE
D:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 5 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - HKLM\..\Run: [Jpd] D:\WINDOWS\System32\Fup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - HKCU\..\Run: [Jpd] D:\WINDOWS\System32\Fup.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

ser faktisk bedre ud


Genstart i Fejlsikret tilstand ved at taste F8 under opstart.
Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Klik herefter "Fix checked" i hijackthis:

O4 - HKLM\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - HKLM\..\Run: [Jpd] D:\WINDOWS\System32\Fup.exe
O4 - HKCU\..\Run: [Vla] D:\WINDOWS\System32\Cmh.exe
O4 - HKCU\..\Run: [Jpd] D:\WINDOWS\System32\Fup.exe

find og slet

D:\WINDOWS\System32\Fup.exe
D:\WINDOWS\System32\Cmh.exe

genstart normalt og ny log

Endnu en bedring - ny log

Logfile of HijackThis v1.99.1
Scan saved at 22:48:20, on 20-03-2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\Sygate\SPF\smc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
D:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Norton AntiVirus\navapsvc.exe
D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
D:\Programmer\Real\RealPlayer\realplay.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programmer\Messenger\msmsgs.exe
D:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Documents and Settings\Michael Rex Sørensen\Lokale indstillinger\Temp\Midlertidig mappe 5 for hijackthis.zip\HijackThis.exe
D:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://212.10.10.20/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmer\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programmer\Fælles filer\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RealTray] D:\Programmer\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = D:\Programmer\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111268732452
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Programmer\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programmer\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FÆLLES~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programmer\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Så er den sgu da ren:) troede jeg aldrig ville ske:P

meeen! jeg tror ikke på der ikke er mere! så kør denne online scanner
http://housecall.trendmicro.com/housecall/start_corp.asp

og se hvad den finder.. jeg kan ikke gøre mere:/

Jeg prøver også lige Housecall. Mange tak for hjæpen. Og du har fået dine point, så jeg kan trække mig tilbage med god samvittighed?

Selv tak:)) Og ja du har da givet mig pointene for længe siden:)

Og du er da toldmodig hehe.. det var rimelig mange hijackthis logge hehe