Hjælp fjernelse af virus

Lad os se en HiJackThis log fra maskinen.

Følg vejledningen her:
Gå ind her og hent Hijackthis.
http://danborg.org/spy/HJT/hijackthis.exe
Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den. Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Logfile of HijackThis v1.99.1
Scan saved at 01:25:40, on 28-03-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmer\Sophos\Remote Update\cachemgr.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Citrix\ICA Client\ssonsvr.exe
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\HPQ\One-Touch\OneTouch.EXE
C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\Programmer\Java\jre1.5.0\bin\jusched.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\Sophos\Remote Update\imonitor.exe
C:\DOCUME~1\JNBERT~1.PRI\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\JNBERT~1.PRI\LOKALE~1\Temp\kavss.exe
C:\Programmer\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Programmer\Microsoft Office\Office10\WINWORD.EXE
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Jónbert Davidsen.PRIVAT\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Control Popups in Internet Explorer - {41353F8B-78CE-48A5-BE44-153ED293D192} - C:\Programmer\PopupPopper\PopLib.dll
O2 - BHO: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Programmer\EFI\PrintMeToolbar\htpmcap.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: PrintMe - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - C:\Programmer\EFI\PrintMeToolbar\htpmcap.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmer\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmer\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmer\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmer\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LidPolicy] c:\Programmer\Hewlett-Packard\LidSwitch Policy\pwrschem.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmer\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmer\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:\AdgangForAlle\adgangforalle.exe
O9 - Extra 'Tools' menuitem: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - c:\AdgangForAlle\adgangforalle.exe
O9 - Extra button: PopupPopper Kontrol Panel - {3E94F358-9537-4BBA-8D12-D7F8A0136973} - C:\Programmer\PopupPopper\SiteList.exe
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programmer\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - https://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by2fd.bay2.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094659500292
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - c:\WINDOWS\Downloaded Program Files\mimectl.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmer\Sophos\Remote Update\cachemgr.exe
O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett-Packard - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

Jeg kigger lige på den, men ved første øjekast ser den ikke slem ud.
Du må gerne lige fortælle hvor den fandt de vira henne.

Jeg vil ikke mene det er noget ret alvorligt, da jeg har gjort det her med jævne mellemrum.

Jeg har spyware og opdaterer jævnligt mit virusprogram.

Jeg kan ikke umiddelbart se hvor de vira ligger henne, der står ikke andet end det jeg skrev øverst oppe her på siden.

Loggen er faktisk ren.

Der er denne linie som der ikke er enighed om blandt logger:
O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - c:\WINDOWS\Downloaded Program Files\mimectl.dll

Nogle fixer den og andre overlader det til brugeren at fortælle om de ved hvad det er.

Ved du det ?.

Men nu til problemet med vira'ene.

Slet den Kaspersky scanner du lige har kørt. Den ligger i tempfolderen.
C:\DOCUME~1\JNBERT~1.PRI\LOKALE~1\Temp\mwavscan.com
C:\DOCUME~1\JNBERT~1.PRI\LOKALE~1\Temp\kavss.exe

Slet også disse filer hvis de findes:
C:\windows\prefetch\mwavscan.com.??????.pf
C:\windows\prefetch\kavss.exe.??????.pf

Grunden er den at de kan drille, da vi skal køre præcis den samme scanner en gang til, og vi skal være sikker på at det er den rigtige scanner der kører. Filnavnene er nemlig ens og det kan drille.

Download så denne scanner:
http://www.spywareinfo.dk/download/mwav.exe
Det er en ældre version af Kaspersky, opdateret med ny virusdefinitioner. Det gode ved den er at den er fra dengang Kaspersky ikke forlangte penge for at fjerne virus, så den kan fjerne de vira.

Du får det bedste resultat, hvis du genstarter i fejlsikker tilstand og kører scanneren. Så er du sikker på at der ikke er filer der er låst af windows.

Jeg ved ikke hvad den linie du referer til er. Jeg gør det andet som du henviser til nu.

Fint.

Jeg fandt endelig noget information omkring den linie og den er legal og skal ikke fixes, så loggen var 100% ren.

Her er dokumentationen:

Microsoft Exchange Server 2003 (SP1)
(added 16. august by 12G, identified December 26 by Pieter Arntz)

O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - C:\WINDOWS\DOWNLO~1\mimectl.dll
O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - c:\WINDOWS\Downloaded Program Files\mimectl.dll

Fint nok - så tror jeg at set bliver i orden, men nu når jeg har dig her, ved du hvorfor jeg hele tiden får en spyware der hedder shop at home, når jeg bruger min Microsoft Antispyware?

Den er også på nu, jeg fjerner den, når jeg er færdig med den her Kasperskyscanning

Jeg tror den der version af Kaspersky er kørt forbi uden at opdage virusfilerne....

Da jeg scannede første gang fandt den dem efter ca. 3000 filer, nu er den oppe på 5000 filer og har ikke fundet nogen.

----

Måske havde det noget at gøre med det der spyware, jeg har fjernet den nu sådan at der ikke er noget spyware på den nu.

Shop at home er egentligt ikke svær at fjerne, men problemet er efterladenskaber. Den skriver rigtigt meget i registreringsdatabasen så jeg kan forestille mig at der ligger en nøgle et sted, som du har utilstrækkelige rettigheder til at fjerne, og det gør at den optræder igen og igen.

Du burde kunne se i Microsofts antispyware, hvor det er den finder den henne, og det må du gerne skrive her.

Her kan du se hvor meget den skriver og består af:
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453076082

Mht dit sidste indlæg, så måske. Det ER en ældre "motor" der er i denne version, og det kan give forskellen.

C:\system volume information_\restore 003e0dd4-4ec

Er det det der?

Spyware Scan Details
Start Date: 28-03-2005 00:21:16
End Date: 28-03-2005 00:56:28
Total Time: 35 mins 12 secs

Detected Threats

ShopAtHome Spyware  more information...
Details: ShopAtHome installs itself in the Winsock layer of your system and redirects your browser to merchant sites to take advantage of the affiliate fees.
Status: Removed
Severe threat - Severe threats typically are remotely exploitable vulnerabilities, which can lead to system compromise. Successful exploitation does not normally require any interaction and exploits are in the wild. There exists a high possibility of potential system damage or security flaw. Attacker has complete control over your computer or install new software on your machine.

Infected files detected
c:\system volume information\_restore{003e0dd4-4ec6-4ce2-9f69-ade52c04a7ac}\rp17\a0011721.exe


Detected Spyware Cookies
No spyware cookies were found during this scan.

Fint, det forklarer hvorfor den kommer igen hele tiden, da man ikke har tilladelse til at slette i den folder, men vi kan få windows til at gøre det for os:

Deaktiver systemgendannelse  - genstart din computer - aktiver systemgendannelse.
(klik start | indstillinger | kontrolpanel | system, fanebladet systemgendannelse)

Så ryger alt i den folder, inclusive den ShopAtHome.

Har gennemført systemgendannelsen og slået den til igen efter opstart.

Den er færdig med at scanne og fandt ingen virus nu.

Så er det måske ikke noget jeg kan gøre for at fjerne dem umiddelbart?

Hvis ikke du har flere forslag, så læg et svar så får du dine point

Her kommer svaret ihvertfald og jeg laver lige en søgning for at se hvad det egentligt er for noget den gamle scanner havde fundet. Men sådan umiddelbart er det ihvertfald ikke noget du behøver at være bekymret over, da der ikke er antydning af snavs i loggen.

Jeg vender lige tilbage med resultatet af min søgning.

hvis det hjælper noget, eller har en mulig forbindelse, så sker der undertiden det, at andre, når de modtager e-mail fra mig, hvor jeg har vedhæftet pdf-filer, jeg selv har lavet, ikke kan åbne dem. Jeg ved ikke om det kan have noget med disse vira at gøre.

Hvis ikke de har det, betyder det ikke noget særligt for mig at få dem fjernet.

De 2 ting har ihvertfald ikke noget med hinanden at gøre.

Det er rester af en Dyfuca infektion, som bliver fundet. Den hedder også 180 solution, internet optimizer og flere andre navne.

Se om du kan finde et af de navne i tilføj/fjern programmer i kontrolpanelet. Det kan faktisk fjernes derigennem hvis ikke uninstalleren er blevet fjernet af virusscanneren.

Og den består af rigtigt mange filer og registry linier, så jeg ville nok vælge den lette løsning, nemlig at scanne med et alternativt værktøj såsom AdAware i fejlsikret tilstand og se om den kan fjerne resterne, og kan den ikke det, så simpelthen lade det være.

AdAware kan du hente her.
http://www.spywarefri.dk/vaerktoj.htm#adaware

Fremgangsmåden er at du installerer produktet, og opdaterer det online. Så går du i fejlsikret tilstand og udfører scanningen.

Jeg har faktisk også selv lidt rester fra en infektion liggende som bliver fundet ved hver scanning, men det er jo ikke aktivt så det ser jeg lidt stort på.

Takker for point :)

Jeg kunne ikke finde noget inde under tilføj/fjern programmer.

Da jeg kørte den alternative scanner, du henviste til, fandt den:

2 i registry

32 filer

Så er der en ret stor sandsynlighed for at det nu er helt væk. Dyfuca er en spyware og ikke en virus, og Kaspersky scanneren er en hybrid scanner, så den tager vira, men også en hel del spyware. AdAware er et program, der kun går efter spyware, så den burde vide mere om en dyfuca end Kaspersky

Jeg prøvede lige med den nye Kaspersy men denne gang fandt den 4, da den var kommet op på ca. 3000 filer.

Men jeg tror ikke jeg gider at gøre mere ud af det nu.

Logfile of HijackThis v1.99.1
Scan saved at 22:45:49, on 11-04-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\Nvc\BIN\NPFSVICE.EXE
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\lsassx.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\ujfqnob.exe
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\npfmsg2.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\DOCUME~1\Kenned\LOKALE~1\Temp\Rar$EX00.968\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [Windows Taskmanager] lsassx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ckWX2LJ2] C:\WINDOWS\ujfqnob.exe
O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Á³# é"h'þ9ÓœU3rŲWC:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\ujfqnob.exe
O4 - HKLM\..\RunServices: [Windows Taskmanager] lsassx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109490092140
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Nvc\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe

cornuni > Hvorfor lægger du en log i foretruknefunks spørgsmål ?