SmitFraud Trojan

download hijackthis herfra www.arlet.dk/hjt.exe
og kopir en log herind.

Hej kalp
Håber dette er hvad du bad om -og at det siger dig nogen :-)

Logfile of HijackThis v1.99.1
Scan saved at 17:30:34, on 27-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\AceGain\LiveUpdate\aceagent.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\ssstars.scr
C:\WINDOWS\System32\ssstars.scr
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Programmer\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmer\Fælles filer\System\MAPI\1030\nt\MAPISP32.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O2 - BHO: (no name) - {27EDDE35-6D90-43D3-A96A-241FD86AF0BB} - C:\WINDOWS\System32\oetehebe.dll
O2 - BHO: IE SP2 AddOn - {4B92C43B-EE13-484C-A3B5-76705F88A945} - C:\WINDOWS\System32\spzqb.dll (file missing)
O2 - BHO: ActiveX Control - {CBDBA333-5BCC-48C5-A1B2-0F30C252CC80} - C:\WINDOWS\System32\msvcr.dll (file missing)
O2 - BHO: (no name) - {E3C4C44A-59CD-F3C9-BE53-5642AFBDE60C} - C:\WINDOWS\System32\huxeiib.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut.exe home
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {CF16AC72-B7B3-4F54-9FE8-83664A8E0695} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CF16AC72-B7B3-4F54-9FE8-83664A8E0695} - (no file) (HKCU)
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{71621987-8942-4B11-90E6-5CCF186FBFFA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

Beklager ventetiden... here we go.

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O2 - BHO: (no name) - {27EDDE35-6D90-43D3-A96A-241FD86AF0BB} - C:\WINDOWS\System32\oetehebe.dll
O2 - BHO: IE SP2 AddOn - {4B92C43B-EE13-484C-A3B5-76705F88A945} - C:\WINDOWS\System32\spzqb.dll (file missing)
O2 - BHO: ActiveX Control - {CBDBA333-5BCC-48C5-A1B2-0F30C252CC80} - C:\WINDOWS\System32\msvcr.dll (file missing)
O2 - BHO: (no name) - {E3C4C44A-59CD-F3C9-BE53-5642AFBDE60C} - C:\WINDOWS\System32\huxeiib.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut.exe home
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {CF16AC72-B7B3-4F54-9FE8-83664A8E0695} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {CF16AC72-B7B3-4F54-9FE8-83664A8E0695} - (no file) (HKCU)

Den her hvis ikke du selv har tilføjet den .. skader ikke at fjerne den.
O15 - Trusted Zone: http://*.63.219.181.7

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis nok fjernet!)

Filerne

C:\WINDOWS\System32\ie2cltr.dll
C:\WINDOWS\System32\spzqb.dll
C:\WINDOWS\System32\msvcr.dll
C:\WINDOWS\system32\svcnut.exe
C:\WINDOWS\System32\ie2cltr.dll
C:\WINDOWS\System32\huxeiib.dll
C:\WINDOWS\System32\oetehebe.dll

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny log herind så jeg kan se om vi fik ramt på det hele eller om noget er blevet overset:)

Hej kalp
Ja, det manglede da bare med din undskyldning, jeg måtte vente 8 timer på dit sidste svar :-) (havde jeg selv skullet gennemgå sådan en log, havde det sikkert taget resten af mine dage).

Jeg har efter bedste evne fulgt din anvisning. Undervejs har jeg kunnet følge at jeg efter dine råd har slagtet flittigt af diverse utøj. Så tak for det.

Men det oprindelige problem med forkert skrivebordsbaggrund og manglende mulighed for at skifte den er desværre ikke væk. Toolbar'en er pist væk forsvundet.

Ny log her:
Logfile of HijackThis v1.99.1
Scan saved at 10:09:12, on 29-04-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\AceGain\LiveUpdate\aceagent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{71621987-8942-4B11-90E6-5CCF186FBFFA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe


mvh
Mogens

loggen er ren.. før vi kigger på en log fra et andet værktøj som i denne tråd
http://www.eksperten.dk/spm/613878

så følge lige ejvindh's forslag og se om det hjælper.

Kalp: Den er nu ikke ren, så længe den O15-entry er i loggen:
http://www.wilderssecurity.com/showthread.php?t=56477

sorry, men den går vel ikke ind og gør det der med baggrunden?

Download DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
eller
http://www.greyknight17.com/spy/DelO15Domains.inf

Højreklik på DelDomains.inf og vælg: Install

så ved ikke om dit forslag i den anden tråd kan gøre det.

genstart og se om

O15 - Trusted Zone: http://*.63.219.181.7 er væk

fix denne i fejlsikret tilstand

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

kan jo være det blot er det.

Kalp: Hvis du nu læste det link som jeg gav dig (og de links, der yderligere findes heri), ville du kunne se, at der var tale om en skjult O4-entry som skal fixes også. Og du ville finde et fix, der bl.a. foretager visse registreringsændringer.
:-)

ejvindh >> læser det om lidt. Lig mærke til jeg ikke har været aktiv siden det indlæg.. skulle lige hurtigt smutte så postede egentlig bare hurtigt som reaktion på det.

Hent killbox

http://www.spywareinfo.dk/download/KillBox.zip

Hent

http://www.thespykiller.co.uk/files/Removems4hd.reg

Kør killbox

kopy/paste alle disse linjer ind i killbox og vælge delete on reboot, men vent med at sige ja til "reboot now" før alle linjer er blevet pasted ind.

C:\WINDOWS\system32\taskrun.exe
C:\WINDOWS\system32\trayinfo.exe
C:\WINDOWS\system32\subsys.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\WINDOWS\system32\smlogvcc.exe
C:\WINDOWS\system32\sessngr.exe
C:\WINDOWS\system32\smlogvcc.exe
C:\WINDOWS\system32\rsvxp.exe
C:\WINDOWS\system32\rsn.exe
C:\WINDOWS\system32\rexecs.exe
C:\WINDOWS\system32\resrvc32.exe
C:\WINDOWS\system32\rcip.exe
C:\WINDOWS\system32\proxyconf.exe
C:\WINDOWS\system32\powerconf.exe
C:\WINDOWS\system32\pingnet.exe]
C:\WINDOWS\system32\dnsping.exe
C:\WINDOWS\system32\odcfg.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\netdns.exe
C:\WINDOWS\system32\getdns.exe
C:\WINDOWS\system32\msswchxp.exe
C:\WINDOWS\system32\msng.exe
C:\WINDOWS\system32\msinfo.exe
C:\WINDOWS\system32\netssl.exe
C:\WINDOWS\system32\netdetect.exe
C:\WINDOWS\system32\sfcver.exe
C:\WINDOWS\system32\clfmon.exe
C:\WINDOWS\system32\netssh.exe
C:\WINDOWS\system32\syspack.dll
C:\WINDOWS\system32\netcfg.dll
C:\WINDOWS\system32\odbcfg32.dll
C:\WINDOWS\system32\p2pserv.dll
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\ie4unit.exe
C:\WINDOWS\system32\ipxroutex.exe
C:\WINDOWS\system32\rdshost32.exe
C:\WINDOWS\system32\rshe.exe
C:\WINDOWS\system32\net2.exe
C:\WINDOWS\system32\mqsvch.exe
C:\WINDOWS\system32\dllhostxp.exe
C:\WINDOWS\system32\extrac16.exe
C:\WINDOWS\system32\mqbckup.exe
C:\WINDOWS\system32\pxhping.exe
C:\WINDOWS\system32\rdpnr.exe
C:\WINDOWS\system32\slservc.exe
C:\WINDOWS\system32\clfmon.exe
C:\WINDOWS\system32\hdr.dll
C:\WINDOWS\system32\msacmx.dll
C:\WINDOWS\system32\d3dxov.dll
C:\WINDOWS\system32\winsrv32.dll

efter du har genstarted så luk alle programmer og vinduer ned. Dobbeltklik på Removems4hd.reg og sig ja til det vindue som kommer frem om at du vil er sikker på du vil foretage ændringer i registry.

Genstart og ny log fra hijackthis.. de anbefaler noget andet men det program findes ikke på deres url. Men vi ser lige ud fra hijackthis om det er væk og så må tjecke manuelt om filerne også er væk.

Kalp: Du henviser til et link, der er dødt!

Mogenshaugaard: Prøv dette i stedet. Hent dette program:
http://forums.skads.org/index.php?s=a0c0f1fdbdc709ffb62bc8e495abdb97&act=Attach&type=post&id=115

Pak filen ud til en selvstændig mappe på skrivebordet

Genstart til fejsikret tilstand

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Dobbeltklik på remv3.bat som ligger i den nye mappe. Vent indtil dos-vinduet lukker.

Genstart til normal tilstand, lav en ny HJT-log, og post den sammen med indholdet af den log, der blev lavet på baggrund af fixet. Ligger her:
c:\log.txt

Hej kalp og ejvindh
Jeg har set jeres indlæg. Og vil naturligvis bruge jeres råd.

Jeg er bare lidt ophængt de næste par dag, skal have konfirmation på søndag, så i må lige have lidt tålmodighed med mig.

På experten foreslår "siden" at i deler pointene. Er det i orden, eller hvordan vil i have det?

mvh
Mogens

Det helt i orden:))

Du bestemmer selv fordelingen. Men jeg synes bare du skal vente med de point, til problemet er løst. Så kan du jo også bedre vurdere, hvem der har hjulpet meget og lidt.

Hej Kalp og Ejvind
Så er konfirmationen vel overstået.

Jeg har fulgt Ejvinds råd:

Mogenshaugaard: Prøv dette i stedet. Hent dette program:
http://forums.skads.org/index.php?s=a0c0f1fdbdc709ffb62bc8e495abdb97&act=Attach&type=post&id=115

Pak filen ud til en selvstændig mappe på skrivebordet

Genstart til fejsikret tilstand

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Dobbeltklik på remv3.bat som ligger i den nye mappe. Vent indtil dos-vinduet lukker.

Den nye log:

e of HijackThis v1.99.1
Scan saved at 16:48:29, on 05-05-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Programmer\AceGain\LiveUpdate\aceagent.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{71621987-8942-4B11-90E6-5CCF186FBFFA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programmer\Fælles filer\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programmer\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\log.txt:
Files Found.................
----------------------------------------
ipdnssec6.exe

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\WINDOWS\system32

24-04-2005  18:45            16.896 hdaoi.dll
24-04-2005  19:23            16.896 hdtql.dll
              2 fil(er)          33.792 byte
              0 mappe(r)  3.727.622.144 byte ledig
msi.dll
Finished

Den forkerte skrivebordsbaggrund og manglende mulighed for at ændre den lever desværre i bedste velgående :-(

mvh
Mogens

Der er stadig nogle ting du skal slette, men nu skal jeg ikke blande mig i ejvindh's forslag for det vil han sikkert gerne selv færdiggøre:)

men synes lige du skal prøve følgende.

Højreklik på skrivebordet og vælge egenskaber
tryk på fanen skrivebord
tryk på knappen indstillinger til skrivebordet.
tryk på fanen web
og fjern flueben i alt herinde.
sig ok, ok og luk det ned og se om det bare var det.

Hent KillBox her: http://www.spywareinfo.dk/download/KillBox.zip
Brugsanvisning kan du finde her: http://www.fbeej.dk/KillBox2_manual.htm

Disse 2 filer skal vi have slettet med killbox
C:\WINDOWS\system32\hdaoi.dll
C:\WINDOWS\system32\hdtql.dll

Kør KillBox, sæt prik i "Delete on reboot". Kopier begge linier ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte (det vil formentlig være en langsom genstart, da infektionen vil lede efter de filer du har slettet).

Efter genstart kører du HJT igen, og fixer denne linie:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Genstart herefter igen, og kør et nyt scan med både remv3.bat og HJT og læg de resulterende logs herind.

ejvindh >> hvad er ipdnssec6.exe ? bliver den slettet af remv3.bat?

Kalp: Det var den del af virussen som værktøjet genkendte. Linierne skal tolkes således: Først oplister den hvilke genkendelige filer der er på computeren. Herefter viser den hvilke af filerne, der IKKE kunne slettes -- og eftersom ipdnssec6.exe ikke optræder her, så er det et tegn på at denne del af rensningen er lykkedes.

Hov, tilføjelse! Du får lige hele proceduren samlet her:

Start med at afinstallere Iguard i Kontrolpanel-tilføj/fjern programmer

Download denne regfil:
http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Hent KillBox her: http://www.spywareinfo.dk/download/KillBox.zip
Brugsanvisning kan du finde her: http://www.fbeej.dk/KillBox2_manual.htm

Disse 3 filer/mapper skal vi have slettet med killbox
C:\WINDOWS\system32\hdaoi.dll
C:\WINDOWS\system32\hdtql.dll
C:\Program Files\Security iGuard\

Kør KillBox, sæt prik i "Delete on reboot". Kopier alle linier ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ, undtagen når du har kopieret den sidste linie ind. Efter at have kopieret den sidste linie ind, skal du svare JA, og din computer vil genstarte (det vil formentlig være en langsom genstart, da infektionen vil lede efter de filer du har slettet).

Efter genstart kører du HJT igen, og fixer denne linie:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Genstart herefter igen. Find smitfraud.reg som du downloadede tidligere, dobbeltklik på den, og sig ja til at tilføje oplysningerne i registreringsdatabasen.

Kør herefter et nyt scan med både remv3.bat og HJT og læg de resulterende logs herind.

Nej, nej, nej -- det kører rigtigt! 2 tilføjelser til sidste procedure:

1.
Den 3. linie til killbox skulle se sådan ud:
C:\Programmer\Security iGuard\

2.
Og du skal desuden genstarte (nok engang), lige inden du kører remv3.bat og HJT.

Mine Herrer
Det går den rigtige vej.

Fanebladene er kommet tilbage på skærmindstillinger, jeg har skiftet skrivebordsbaggrund og iGuard advarslen er væk når jeg logger på. SmitFraud advarslen er også væk fra skrivebordsbaggrunden.

Loggerne følger her:
Logfile of HijackThis v1.99.1
Scan saved at 20:32:22, on 05-05-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmer\AceGain\LiveUpdate\aceagent.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Mogens.STUEN\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programmer\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Programmer\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{71621987-8942-4B11-90E6-5CCF186FBFFA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
Disken i drev C har ikke noget navn.
Diskens serienummer er 1C49-E505

Indhold af C:\WINDOWS\system32

msi.dll
Finished

Ja, jeg tror også den er ved at være der. Du skal lige fixe følgende entry med HJT:
O4 - HKLM\..\Run: [Security iGuard] C:\Programmer\Security iGuard\Security iGuard.exe

og se om følgende mappe findes (hvis den gør, skal den slettes):
C:\Programmer\Security iGuard\

Genstart og kør HJT igen. Se om O4-entryen er væk. Hvis ja, så er dit problem løst. Hvis nej, lægger du en ny log herind.

---------------------------------
I tilfælde af, at problemet er løst, får du hermed min afskeds-salut:

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Du kan også rense browser cachen (hvis du bruger IE-explorer)
1. Klik på Funktioner - Internetindstillinger
2. Under midlertidige filer, klik på Slet cookies
3. Under midlertidige filer, klik på slet filer – sæt flueben i slet alt offline indhold
4. Under Oversigten, klik på ryd oversigten
5. Klik på ok.
Tøm din papirkurv.
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Som minimum vil jeg anbefale at lægge Spywareguard, Spywareblaster og IE-spyad ind. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/vaerktoj.htm

Alle computere bør beskyttet af en firewall. Link og vejledning til en god og gratis firewall finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=9706

Det kan også være en god ide at sørge for at alle Windows-opdateringer er lagt ind. Jeg vil også anbefale (nu hvor computeren er renset for snavs) at lægge Service Pack 2 ind, idet computeren bliver meget mere sikker ved det. Der har ganske vist været nogle problemer med den, men på nedenstående link er nogle tips til hvordan man undgår de fleste af problemerne:
http://windowsupdate.microsoft.com/
Undgå problemer med SP2: http://www.hcma.dk/tips&tricks.htm#sp1mm
(Inden du installerer Sp2 kan du nøjes med bare at følge pkt. 1-4. Bliver der problemer kan du hente hjælp i de links som angives efterfølgende)

arrhh -- tillæg igen, igen:

Jeg kan se at disse også plejer at blive fixet, så medmindre du ikke kender dem, må du hellere tage dem med også (jeg må indrømme at jeg kender dem ikke selv):

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{71621987-8942-4B11-90E6-5CCF186FBFFA}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{5F881098-6C75-4BA6-9A76-0EF16529F6B5}: NameServer = 69.50.176.156,195.225.176.31

De O17-entries skal helt sikkert væk!

Hej igen mine Herrer
Min PC skulle så være renset for snavs. I skal begge have mange tak. Skulle jeg selv have klaret opgaven, havde jeg været chanceløs.

Men i har været særdeles kompetente. Kalp ryddede godt op fra starten og ejvindh tog over med de mest sejlivede.

Det har været en fornøjelse, at opleve hvordan i hurtigt og imødekommende med pædagogisk sans og utrolig viden har læst mine problemer.

Mange tak.

Jeg vil følge dine råd om at ungå problemerne opstår igen, ejvindh.

Pointene deler jeg lige mellem jer. Jeg stiller lige et tillægsspørgsmål, som jeg håber du vil have ulejlighed af at besvare ejvindh.

Med venlig hilsen
Mogens Haugaard

Mogenshaugaard: Det er en pæn tanke af dig, at ville udlodde flere point, men reglerne på eksperten er desværre sådan at vi ikke må modtage mere end 200p. per problem. Og det er også alt rigeligt. Så du kan bare dele pointene imellem os i denne tråd, ved at markere både Kalp og mit brugernavn ude til venstre og trykke accepter.

Det har også været en fornøjelse at arbejde med en bruger, der gav god feedback :-)

Takker for point :-)

Hej ejvindh
Har lagt en log ud på vores anden PC. Vil du kigge den igennem.

Der må efter min bedste overbevisning være tale om et nyt problem.

Jeg kan se at arlet var hurtigere end jeg :-)
http://www.eksperten.dk/spm/615417

Vi har en aftale blandt HJT-loggere at vi normalt ikke blander os i hinandens tråde, medmindre vi mener det er nødvendigt (dvs. at der overses noget, eller fjernes for meget i en tråd). Men jeg tror også du er i gode hænder ved arlet :-)

Hmmm, ja stammeritualer, dem må man jo respektere :-)

Det var nu ellers, som du kan se af indledningen, tænkt som en godbid til dig.

Men jeg vil nu løbe den anden computer igennem også, der var betydeligt mere snavs på den første, end jeg havde opdaget.

Endnu engang, tak for hjælpen.

mvh
Mogens

Godt problemet blev løst:)) og ja nu man er igang kan man da ligeså godt rense resten er sine pc'ere med:)) tog lige et hurtigt kig på den log i den anden tråd og den er da fyldt med lidt af hvert, men tror dog ikke at den vil være så besværlig som her:))

og du har fået dit skrivebord tilbage? på pc'en her?