hjælp med virus

Prøv at kigge på www.spywarefri.dk & http://www.google.dk/search?hl=da&ie=UTF-8&oe=UTF-8&q=Free+Online+Virus+Scanner&btnG=Google-s%C3%B8gning&meta=

Download Hijackthis:
http://danborg.org/spy/HJT/hijackthis.exe

Kør Hijackthis.exe fra en mappe som du opretter til formålet:
Klik på "Do a systemscan and save a logfile"
(det kan være at du bliver ført direkte ind til hovedprogrammet - så klikker du bare Scan - save log)
Kopiér indholdet af denne logfil herind i denne tråd.
Jeg vil fraråde at du selv begynder at fixe noget.

Så kan det være at vi kan fjerne det, uden at nogen skal til at tage til Randers :-)

Jeg prøver lige når jeg kommer hjem

Går det helt galt, bor Victor-1 fra spywarefri i Randers, men mon ikke ejvindh kan guide dig igennem til en ren computer. Det er han ret skrap til *s*

her er så logfilen:

Logfile of HijackThis v1.99.1
Scan saved at 17:04:37, on 14-04-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TTTIMER.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\DOKUMENTER\BEOPLAYER\BEOTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\DOKUMENTER\BEOPLAYER\BEOPLAYER.EXE
C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAMMER\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\DOKUMENTER\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = safeproxy.cybercity.dk:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: load=ptsnoop.exe
O1 - Hosts: 207.68.176.190 #uto.search.msn.com
O1 - Hosts: 207.68.176.190 www.#uto.search.msn.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {72BEE98B-E5D1-4D83-9945-C41842A4C0BC} - C:\WINDOWS\SYSTEM\BDDG.DLL (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] c:\windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\SYSTEM\TTTIMER.EXE
O4 - HKLM\..\Run: [vptray] c:\Programmer\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Beoplayertray] C:\Dokumenter\beoplayer\Beotray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] c:\Programmer\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] c:\Programmer\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: BeoPlayer.lnk = C:\Dokumenter\beoplayer\BeoPlayer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.tvilum.com/iNotes6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://80.164.11.164/v2/XUpload.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.bang-olufsen.com/InstallObjs/isetup.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O18 - Filter: text/html - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O18 - Filter: text/plain - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O21 - SSODL: vaAEJidvDK - {13631905-B9C9-B3AF-C36A-901A53478F54} - C:\WINDOWS\SYSTEM\VEY.DLL

Jeg er desværre lige ved at pakke sammen nu, og du har en infektion, der kræver en smule grundighed, og det kan jeg ikke nå lige nu. Tonnybrandt er derfor meget velkommen til at tage over (han er også meget bedre end mig alligevel) hvis han har tid. Ellers skal jeg nok prøve at vende tilbage lidt senere i aften, eller i morgen tidlig.

Jeg har faktisk lige prøvet en gang mere og fået en anderledes logfil:

Logfile of HijackThis v1.99.1
Scan saved at 17:09:29, on 14-04-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TTTIMER.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\DOKUMENTER\BEOPLAYER\BEOTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\DOKUMENTER\BEOPLAYER\BEOPLAYER.EXE
C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAMMER\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\DOKUMENTER\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = safeproxy.cybercity.dk:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: load=ptsnoop.exe
O1 - Hosts: 207.68.176.190 #uto.search.msn.com
O1 - Hosts: 207.68.176.190 www.#uto.search.msn.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {72BEE98B-E5D1-4D83-9945-C41842A4C0BC} - C:\WINDOWS\SYSTEM\BDDG.DLL (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] c:\windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\SYSTEM\TTTIMER.EXE
O4 - HKLM\..\Run: [vptray] c:\Programmer\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Beoplayertray] C:\Dokumenter\beoplayer\Beotray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] c:\Programmer\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] c:\Programmer\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: BeoPlayer.lnk = C:\Dokumenter\beoplayer\BeoPlayer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.tvilum.com/iNotes6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://80.164.11.164/v2/XUpload.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.bang-olufsen.com/InstallObjs/isetup.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab
O18 - Filter: text/html - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O18 - Filter: text/plain - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O21 - SSODL: vaAEJidvDK - {13631905-B9C9-B3AF-C36A-901A53478F54} - C:\WINDOWS\SYSTEM\VEY.DLL

Ups, nej det var den vist ikke

Ok, først skal vi lige se en log fra et andet værktøj fordi det er en windows millenium. Infektionen opfører sig lidt anderledes når det er dette styresystem:

Hent dette program og pak det ud til sin egen mappe:
http://www.niksoft.at/php/dl.php?f=startdreck.zip
Kør Startdreck, Klik (efter lidt tid) "config", klik "unmark all"
Sæt et flueben i:
Registry -> Run Keys
System/drivers> Running processes
System/drivers> NT services
Tryk "Ok"

Tryk "Save" og gem log'en et sted, hvor du kan finde den igen. Læg log'en herind

Der burde ikke være de store problemer at fjerne infektionen, blot lige for at berolige dig *s*

Hej tonnybrandt

Jeg kan ikke få markeret loggen og kopieret den

Kan du ikke gemme den på skrivebordet som f.eks log.txt.
Herefter kan du blot dobbeltklikke på den og den vil åbne sig.

Så klikker du rediger | Marker alt
og herefter rediger | Kopier

Højreklik så ovre i dette felt og vælg "sæt ind"

her er den:

StartDreck (build 2.1.7 public stable) - 2005-04-14 @ 19:28:37 (GMT +02:00)
Platform: Windows ME (Win 4.90.3000 )
Internet Explorer: 6.0.2800.1106
Logged in as Kenne at OEMCOMPUTER

»Registry
»Run Keys
  »Current User
  »Run
    *WEBCAMRT.EXE=
  »RunOnce
  »Default User
  »Run
  »RunOnce
  »Local Machine
  »Run
    *Skan registreringsdatabase=c:\windows\scanregw.exe /autorun
    *Job-oversigt=c:\windows\taskmon.exe
    *SystemTray=SysTray.Exe
    *ScanRegistry=c:\windows\scanregw.exe /autorun
    *TaskMonitor=c:\windows\taskmon.exe
    *PCHealth=c:\windows\PCHealth\Support\PCHSchd.exe -s
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *TerraTec Scheduler=C:\WINDOWS\SYSTEM\TTTIMER.EXE
    *vptray=c:\Programmer\Norton AntiVirus\vptray.exe
    *DXM6Patch_981116=C:\WINDOWS\p_981116.exe /Q:A
    *LVComs=c:\windows\SYSTEM\LVComS.exe
    *LogitechGalleryRepair=C:\Programmer\Logitech\ImageStudio\ISStart.exe
    *LogitechImageStudioTray=C:\Programmer\Logitech\ImageStudio\LogiTray.exe
    *LoadQM=loadqm.exe
    *Beoplayertray=C:\Dokumenter\beoplayer\Beotray.exe
    *QuickTime Task="C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    +OptionalComponents
    +IMAIL
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
    +MAPI
      *NoChange=1
      *Installed=1
  »RunOnce
  »RunServices
    *Planlægningsagent=c:\windows\SYSTEM\mstask.exe
    *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    *SchedulingAgent=mstask.exe
    **StateMgr=C:\WINDOWS\System\Restore\StateMgr.exe
    *rtvscn95=c:\Programmer\Norton AntiVirus\rtvscn95.exe
    *defwatch=c:\Programmer\Norton AntiVirus\defwatch.exe
    *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE
  »RunServicesOnce
    **awt=rundll32 C:\WINDOWS\WMSYSPA9.PRX,DllGetClassObject
  »RunOnceEx
  »RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
  +FFCFB691=C:\WINDOWS\SYSTEM\KERNEL32.DLL
  +FFFFFC09=C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  +FFFF5C1D=C:\WINDOWS\SYSTEM\mmtask.tsk
  +FFFF78C5=C:\WINDOWS\SYSTEM\MPREXE.EXE
  +FFFEB56D=C:\WINDOWS\SYSTEM\MSTASK.EXE
  +FFFEFC29=C:\WINDOWS\RUNDLL32.EXE
  +FFFE1015=C:\PROGRAMMER\NORTON ANTIVIRUS\RTVSCN95.EXE
  +FFFEE809=C:\PROGRAMMER\NORTON ANTIVIRUS\DEFWATCH.EXE
  +FFFE8979=C:\WINDOWS\SYSTEM\STIMON.EXE
  +FFFD416D=C:\WINDOWS\EXPLORER.EXE
  +FFFFEAED=C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
  +FFFCEE39=C:\WINDOWS\PTSNOOP.EXE
  +FFFC09CD=C:\WINDOWS\TASKMON.EXE
  +FFFC1335=C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  +FFFC7225=C:\WINDOWS\SYSTEM\TTTIMER.EXE
  +FFFBBE89=C:\PROGRAMMER\NORTON ANTIVIRUS\VPTRAY.EXE
  +FFFB3E0D=C:\WINDOWS\SYSTEM\LVCOMS.EXE
  +FFFBCCCD=C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
  +FFFB0891=C:\WINDOWS\LOADQM.EXE
  +FFFCCC55=C:\DOKUMENTER\BEOPLAYER\BEOTRAY.EXE
  +FFFC592D=C:\WINDOWS\SYSTEM\QTTASK.EXE
  +FFFA0BD1=C:\WINDOWS\SYSTEM\WMIEXE.EXE
  +FFFA43A9=C:\DOKUMENTER\BEOPLAYER\BEOPLAYER.EXE
  +FFFA6139=C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
  +FFF935D1=C:\PROGRAMMER\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
  +FFF7B921=C:\WINDOWS\SYSTEM\DDHELP.EXE
  +FFF7CA19=C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
  +FFF706FD=C:\WINDOWS\SYSTEM\SPOOL32.EXE
  +FFFD6BCD=C:\PROGRAMMER\INTERNET EXPLORER\IEXPLORE.EXE
  +FFF8A095=C:\WINDOWS\SYSTEM\PSTORES.EXE
  +FFF6C32D=C:\DOKUMENTER\HIJACK\NY MAPPE\STARTDRECK217\STARTDRECK.EXE
»NT Services
»Application specific

Ok, så er vi klar til at gå igang.

Nu fixer vi lige i første omgang den der holder din infektion igang.

Genstart computeren. Når "starter windows 98" vises, trykker du F8 og vælger kun kommando prompt i menuen.

Når du får denne "prompt": C:\>
skriver du:
Attrib -h -s -r C:\WINDOWS\WMSYSPA9.PRX
og trykker enter

Så skriver du:
del C:\WINDOWS\WMSYSPA9.PRX
og trykker enter.

Så går vi videre med selve infektionen:

Genstart i fejlsikret tilstand (tryk F8 på samme måde som før og vælg fejlsikret tilstand)

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 207.68.176.190 #uto.search.msn.com
O1 - Hosts: 207.68.176.190 www.#uto.search.msn.com
O2 - BHO: (no name) - {72BEE98B-E5D1-4D83-9945-C41842A4C0BC} - C:\WINDOWS\SYSTEM\BDDG.DLL (file missing)
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O18 - Filter: text/plain - {0CE357E1-7EA7-4C39-A719-D3ED201914BB} - C:\WINDOWS\SYSTEM\BDDG.DLL
O21 - SSODL: vaAEJidvDK - {13631905-B9C9-B3AF-C36A-901A53478F54} - C:\WINDOWS\SYSTEM\VEY.DLL

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
-------------------
Mapper:
<ingen>

Filer:
c:\windows\TEMP\se.dll
C:\WINDOWS\p_981116.exe
C:\WINDOWS\SYSTEM\BDDG.DL
C:\WINDOWS\SYSTEM\VEY.DLL

Genstart normalt og kom med en ny log til kontrol

se nu kommer vi til det som jeg bliver nervøs for , da jeg ikke har ret meget forstand på dette.
Du skriver at jeg efter windows 98 skal gøre noget, men jeg har jo windows ME.

hvordan genstarter jeg maskinen efter :del C:\WINDOWS\WMSYSPA9.PRX
og trykker enter.

alt andet end lige så bliver jeg nødt til at vente til imorgen, da jeg skal have en udskrift af din instruktion og jeg har ikke en printer til rådighed lige nu.

kan vi vende tilbage imorgen ???

Pinligt, jeg ved ikke lige hvorfor jeg ville have det til at være en 98'er.

I så fald er du nødt til først at downloade en windows 98 bootdiskette og bruge den til den første del af proceduren, altså der hvor du skulle i "kun kommandoprompt"

Så download denne fil:
http://ephemeral-designs.com/downloads/boot98se.exe
dobbeltklik på filen og den vil lave en bootdiskette til dig. Den lader du sidde i maskinen og genstarter den. Så vil maskinen boote på disketten og du vil ende i en A:\> prompt.
Så udfører du dette:

Når du får denne "prompt": C:\> (Her er det så en A:\> prompt !!)
skriver du:
Attrib -h -s -r C:\WINDOWS\WMSYSPA9.PRX
og trykker enter

Så skriver du:
del C:\WINDOWS\WMSYSPA9.PRX
og trykker enter.

Så tager du disketten ud og genstarter computeren og fortsætter med resten af proceduren.

Og, ja selvfølgelig. Du vender tilbage når du har tid igen.

>tonnybrandt

Så er jeg tilbage igen. Efter a:\promt får jeg bare en bad command. Jeg kan ikke få mit tastetur til at fungere som normalt, jeg kan bl.a. ikke lave en :

Du skal ikke _skrive_ "prompt". Du skal kun skrive disse to linier, og så trykke enter-tasten imellem:

Attrib -h -s -r C:\WINDOWS\WMSYSPA9.PRX
del C:\WINDOWS\WMSYSPA9.PRX

Kolonnet finder du ved at trykke shift-æ
Backslash finder du ved at trykke tasten lige til højre for ø

(det er fordi tastaturet ikke er opsat efter det trad. danske)

>tonnybrandt

Jeg får den samme meddelse hver gang jeg prøver efter A:\ : bad command file

Start computeren op i windows.
Sæt windows 98 boot disketten i a: drevet
Kopier teksten under den stiplede linie over i notesblok og vælg fil | gem som, skriv a:\clean.bat i filenavn og vælg alle filer i filtype.

Boot nu op på disketten.
Når du kan se at der står a:\> skriver du:

clean

og trykker enter.

Nu skulle den gerne slette filen.

Tag så disketten ud, start så op windows og kom med en ny log fra startdreck.
-------------------
Attrib -h -s -r C:\WINDOWS\WMSYSPA9.PRX
del C:\WINDOWS\WMSYSPA9.PRX
pause

ny logfil:

Logfile of HijackThis v1.99.1
Scan saved at 16:30:45, on 19-04-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TTTIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\DOKUMENTER\BEOPLAYER\BEOTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\DOKUMENTER\BEOPLAYER\BEOPLAYER.EXE
C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAMMER\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\DOKUMENTER\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = safeproxy.cybercity.dk:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] c:\windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\SYSTEM\TTTIMER.EXE
O4 - HKLM\..\Run: [vptray] c:\Programmer\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Beoplayertray] C:\Dokumenter\beoplayer\Beotray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] c:\Programmer\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] c:\Programmer\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: BeoPlayer.lnk = C:\Dokumenter\beoplayer\BeoPlayer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.tvilum.com/iNotes6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://80.164.11.164/v2/XUpload.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.bang-olufsen.com/InstallObjs/isetup.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab

Hent SpSeHjfix her:
http://www.derbilk.de/SpSeHjfix110.zip
Udpak den til sin egen mappe på skrivebordet.

Under dette fix, må du ikke have Internet Explorer åben, så det bedste er at printe instruktionen ud - næstbedst at kopiere den over i Notepad, så du kan læse den derfra.

1. For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

2. Genstart i Fejlsikret tilstand (uden netværk) ved at taste F8 under opstart.

3. Kør HijackThis, scan og sæt et flueben ud for denne linie - luk øvrige programvinduer - klik "Fix checked":

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

4. Åbn en stifinder og slet hele INDHOLDET af denne folder: c:\windows\TEMP\

5. Kør SpSeHjFix - klik på Start Disinfektion, programmet scanner, fjerner og genstarter - lad programmet starte i Normal tilstand. Gem den log, som programmet laver.

Genstart i Normal tilstand, kør HijackThis, scan og læg en frisk log herind sammen med log'en fra SpSeHjFix.

1. For at kunne se alle filer:

Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Hvad er det for en mappe jeg skal åbne ??

En hvilken som helst mappe, eller blot åbn en stifinder.
Det er blot for at du får adgang til menuen oppe i toppen af vinduet.

>tonnybrandt, prøvede at gøre som du sagde men kunne ikke finde de linier som du siger.
her er den nye logfil:
Logfile of HijackThis v1.99.1
Scan saved at 17:39:17, on 20-04-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\DOKUMENTER\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jubii.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] c:\windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\SYSTEM\TTTIMER.EXE
O4 - HKLM\..\Run: [vptray] c:\Programmer\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Beoplayertray] C:\Dokumenter\beoplayer\Beotray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] c:\Programmer\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] c:\Programmer\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: BeoPlayer.lnk = C:\Dokumenter\beoplayer\BeoPlayer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.tvilum.com/iNotes6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://80.164.11.164/v2/XUpload.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.bang-olufsen.com/InstallObjs/isetup.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab

Loggen ser ud til at være lavet i fejlsikret tilstand, så vi skal lige se en log fra normal tilstand.

Og så skal vi lige se loggen fra SpSeHjFix. Den burde ligge i den mappe hvor du udpakkede SpSeHjfix110.zip

>tonnybrandt, så er jeg her igen. Efter at have gjort det sidste træk som du har bedt mig om, kan jeg ikke komme ind på nettet igen. Den åbner fint nettet, men kan ikke finde nogen sider der inde.

Ja, SpSeHjfix kan godt være hård ved IE-exploreren. Prøv lige at hente denne lille fil:
http://www.fbeej.dk/Programmer/iereg98.zip
Pak den ud og kør iereg.bat. Genstart og se om det har hjulpet.

Herefter synes jeg du skal lægge de 2 logs som Tonnybrandt efterspørger.

>ejvind, det hjalp ikke. IE vil stadig ikke åbne med siden

>ejvind, faktisk når jeg kører iereg.bat filen, sigen den at det er forkert commando i ale linierne ??

Det er fordi der er en fejl i filen. Der er et mellemrum efter system\ og det skal der ikke være.

Kopier nedenstående ind i filen istedet for det der står der, og gem filen. Prøv så at køre filen igen.
---------------------

regsvr C:\Windows\system\comcat.dll /s
regsvr C:\Windows\system\Msjava.dll /s
regsvr C:\Windows\system\Mshtml.dll /s
regsvr C:\Windows\system\Browseui.dll /s
regsvr C:\Windows\system\Shell32.dll /s
regsvr C:\Windows\system\shdoc401.dll /s
regsvr C:\Windows\system\shdoc401.dll /i /s
regsvr C:\Windows\system\asctrls.ocx /s
regsvr C:\Windows\system\oleaut32.dll /s
regsvr C:\Windows\system\shdocvw.dll /I /s
regsvr C:\Windows\system\shdocvw.dll /s
regsvr C:\Windows\system\browseui.dll /s
regsvr C:\Windows\system\browseui.dll /I /s
regsvr C:\Windows\system\msrating.dll /s
regsvr C:\Windows\system\mlang.dll /s
regsvr C:\Windows\system\hlink.dll /s
regsvr C:\Windows\system\mshtmled.dll /s
regsvr C:\Windows\system\urlmon.dll /s
regsvr C:\Windows\system\plugin.ocx /s
regsvr C:\Windows\system\sendmail.dll /s
regsvr C:\Windows\system\scrobj.dll /s
regsvr C:\Windows\system\mmefxe.ocx /s
regsvr C:\Windows\system\corpol.dll /s
regsvr C:\Windows\system\jscript.dll /s
regsvr C:\Windows\system\msxml.dll /s
regsvr C:\Windows\system\imgutil.dll /s
regsvr C:\Windows\system\thumbvw.dll /s
regsvr C:\Windows\system\cryptext.dll /s
regsvr C:\Windows\system\rsabase.dll /s
regsvr C:\Windows\system\inseng.dll /s
regsvr C:\Windows\system\iesetup.dll /i /s
regsvr C:\Windows\system\cryptdlg.dll /s
regsvr C:\Windows\system\actxprxy.dll /s
regsvr C:\Windows\system\dispex.dll /s
regsvr C:\Windows\system\occache.dll /s
regsvr C:\Windows\system\occache.dll /i /s
regsvr C:\Windows\system\iepeers.dll /s
regsvr C:\Windows\system\urlmon.dll /i /s
regsvr C:\Windows\system\cdfview.dll /s
regsvr C:\Windows\system\webcheck.dll /s
regsvr C:\Windows\system\mobsync.dll /s
regsvr C:\Windows\system\pngfilt.dll /s
regsvr C:\Windows\system\licmgr10.dll /s
regsvr C:\Windows\system\icmfilter.dll /s
regsvr C:\Windows\system\hhctrl.ocx /s
regsvr C:\Windows\system\inetcfg.dll /s
regsvr C:\Windows\system\tdc.ocx /s
regsvr C:\Windows\system\MSR2C.DLL /s
regsvr C:\Windows\system\msident.dll /s
regsvr C:\Windows\system\msieftp.dll /s
regsvr C:\Windows\system\xmsconf.ocx /s
regsvr C:\Windows\system\ils.dll /s
regsvr C:\Windows\system\msoeacct.dll /s
regsvr C:\Windows\system\inetcomm.dll /s
regsvr C:\Windows\system\msdxm.ocx /s
regsvr C:\Windows\system\dxmasf.dll /s
regsvr C:\Windows\system\l3codecx.ax /s
regsvr C:\Windows\system\acelpdec.ax /s
regsvr C:\Windows\system\mpg4ds32.ax /s
regsvr C:\Windows\system\voxmsdec.ax /s
regsvr C:\Windows\system\danim.dll /s
regsvr C:\Windows\system\Daxctle.ocx /s
regsvr C:\Windows\system\lmrt.dll /s
regsvr C:\Windows\system\datime.dll /s
regsvr C:\Windows\system\dxtrans.dll /s
regsvr C:\Windows\system\dxtmsft.dll /s
regsvr C:\Windows\system\WEBPOST.DLL /s
regsvr C:\Windows\system\WPWIZDLL.DLL /s
regsvr C:\Windows\system\POSTWPP.DLL /s
regsvr C:\Windows\system\CRSWPP.DLL /s
regsvr C:\Windows\system\FTPWPP.DLL /s
regsvr C:\Windows\system\FPWPP.DLL /s
regsvr C:\Windows\system\WUAPI.DLL /s
regsvr C:\Windows\system\WUAUENG.DLL /s
regsvr C:\Windows\system\ATL.DLL /s
regsvr C:\Windows\system\WUCLTUI.DLL /s
regsvr C:\Windows\system\WUPS.DLL /s
regsvr C:\Windows\system\WUWEB.DLL /s
regsvr C:\Windows\system\wshom.ocx /s
regsvr C:\Windows\system\wshext.dll /s
regsvr C:\Windows\system\vbscript.dll /s
regsvr C:\Windows\system\scrrun.dll mstinit.exe /setup /s
regsvr C:\Windows\system\msnsspc.dll /SspcCreateSspiReg /s
regsvr C:\Windows\system\msapsspc.dll /SspcCreateSspiReg /s

Suk, suk, suk, nu opgiver jeg snart. Tonnybrandt, det fungerer heller med din rettelse. Den siger stadig forkert commando

>tonnybrandt, der skal selfølgelig stå , at det heller ikke fungerer med din rettelse !!

Faktisk siger den i explorer at serveren ikke kan findes. Er det noget andet , måske med modemet, der er gal ????

Prøv lige at downloade denne fil:
http://www.bu.edu/pcsc/internetaccess/w2fix.exe

Du kan blot downloade den på en anden computer og overføre filen til den anden computers skrivebord via en diskette.

Når du har kopieret den ind på skrivebordet, dobbeltklikker du filen og følger instrukserne.

Forhåbentlig kan det rette op på problemet med "serveren kan ikke findes" problemet.

>tonnybrandt,  så lykkedes det at komme på nettet. Hvad skal jeg nu ??

Jeg syntes at det kører meget langsomt, både på nettet og i det hele taget !!

Prøv lige at komme med en ny HiJackThis log, så vi kan se hvordan den ser ud. Og den skal være fra Normal tilstand.

>tonnybrandt, her er så en ny log:

Logfile of HijackThis v1.99.1
Scan saved at 17:05:19, on 18-05-2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\TTTIMER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMER\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMMER\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\DOKUMENTER\BEOPLAYER\BEOTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\DOKUMENTER\BEOPLAYER\BEOPLAYER.EXE
C:\PROGRAMMER\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\PROGRAMMER\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\DOKUMENTER\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekstrabladet.dk/VisArtikel.sasp?TemplateID=1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = safeproxy.cybercity.dk:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMER\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMER\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Skan registreringsdatabase] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Job-oversigt] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] c:\windows\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\SYSTEM\TTTIMER.EXE
O4 - HKLM\..\Run: [vptray] c:\Programmer\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [LVComs] c:\windows\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programmer\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programmer\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Beoplayertray] C:\Dokumenter\beoplayer\Beotray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Planlægningsagent] c:\windows\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [rtvscn95] c:\Programmer\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] c:\Programmer\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: BeoPlayer.lnk = C:\Dokumenter\beoplayer\BeoPlayer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Encoder Agent.lnk = C:\Programmer\Windows Media Components\Encoder\WMENCAGT.EXE
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programmer\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://webmail.tvilum.com/iNotes6.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://80.164.11.164/v2/XUpload.ocx
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.bang-olufsen.com/InstallObjs/isetup.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://scanner.virus112.com/cabs/cssweb.cab

Loggen er faktisk ren. Har du stadig problemer med pc'en ?

den kører meget langsomt, især på nettet. Når jeg starter maskinen op, så kører A-drevet helt vildt som om den lige tjekker den ?

>tonnybrandt, smider du et svar , så du kan få dine velfortjente point

Ok, her er svaret :)

Takker for point :)