Mangler hjælp til hijacklog

Jeg ser på den, øjeblik

Læs alle punkterne inden du gør noget.
Du har mange problemer, måske er det nødvendigt med endnu en gang oprydning efter nedenstående.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe, hvis den version du har er den nyeste, behøver du ikke at hente denne.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÔ] ú" ü‰¸u0C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\aqcpu.exe
O4 - HKLM\..\Run: [unkcrw] c:\windows\system32\leosnj.exe r
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programmer\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50188/QDow_AS2.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt01.com/dialer/internazionale_ver10.CAB
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)

Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende filer:
C:\WINDOWS\aqcpu.exe
c:\windows\system32\leosnj.exe
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
... og følgende mapper:
C:\Programmer\ISTsvc\
C:\Programmer\Ebates_MoeMoneyMaker\

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage et par timer.

(6)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(7)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.


Note til mig selv: O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

Jeg scanner..... .:-) Foreløbig tak - jeg vender tilbage med en ny log.
Et spærgsmål der undrer lidt - under scanningen med kaspersky, støder jeg på følgende i virus log information:
File C:\etellerandet tagged as not a virus:Adware - no action taken ? Hvad så?
Mvh

Hej Levich
Undskyld ventetiden - har været væk fra en pc de sidste 3 dage.Har gjort som tilrådet, men enkelte ting lykkedes ikke.
Lidt filer tilbage i tempmapperne der ikke kan slettes, 023 - PLS remote vil ikke fixes og jeg får fejl når jeg vil opgradere til SP2.
Ny logfil her:
Logfile of HijackThis v1.99.1
Scan saved at 09:21:14, on 28-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmer\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Bruger\Skrivebord\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.dk/Default.asp?Ath=f
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

mvh

For det første er meget af det vi forsøgte af fjerne væk. For det andet er det helt normalt at du ikke slette alle filer i temp-mappen. For det tredje skal du ikke installere SP2 før alt "snavs" er væk.

Her er en ny vejledning, som forhåbentlig vil fjerne resten:

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)

Stadig i HijackThis klik på config -> misc tools -> delete an NT service. Skriv teksten "explorex" og tryk på ok. Gentag dette for teksterne "PLSRemoteSvc", "PowerManager" og "slaker".
Genstart computeren.

(3)
Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende filer:
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
C:\WINDOWS\svchost.exe (den rigtige fil er C:\WINDOWS\system32\svchost.exe, som ikke skal slettes)

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage et par timer.

(6)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(7)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Hej
Nu har jeg kørt alt igennem, men men men....den nedenstående gik ikke? Jeg får ikke lov til at slette, fordi de alle er kørende services, og når jeg kigger efter de navne der er nævnt så finder jeg dem ikke? Såeeeeh - et godt råd? :-)
Stadig i HijackThis klik på config -> misc tools -> delete an NT service. Skriv teksten "explorex" og tryk på ok. Gentag dette for teksterne "PLSRemoteSvc", "PowerManager" og "slaker".
Genstart computeren.

Efter at have kørt spybot også finder den 3 forekomster af Huntbar som jeg ikke kan fixe, selvom den får lov at starte op efter en genstart BÅDE i og uden fejlsikret tilstand?

Mvh

Ok. Når du starter på nedenstående, så tag internetkablet ud indtil du er helt færdig.
*******************
(a)
Genstart computeren i fejlsikret tilstand.

Start med at fjerne huntbar http://www.spywareguide.com/product_show.php?id=426, se afsnittet "Manual removal:
Unregister the files:
regsvr32 /u "C:\Program Files\Common Files\MSIETS\msiets.dll"
regsvr32 /u "C:\Program Files\Common Files\MSIETS\mslink.dll"
You also want to unregister all the dll's in the folder:
c:\program files\common files\wintools\

Look for a directory/folder at this location:
c:\program files\common files\wintools\
There will be three main file all running in memory. You'll need to end process on each of them before you can delete the folder.
The file names are
WSUP.exe
WToolsA.exe
Then delete them manually

Hvis dette ikke lykkedes, så fjernes mwav.exe den måske (se senere).

(b)
I hijackthis vælg misc tools -> open process manager, og vælg filerne:
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
C:\WINDOWS\svchost.exe
... og klik på kill process.

Derefter fix følgende linjer med HijackThis:
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)

(c)

Jeg kom til at trykke på send. Vent lidt, så kommer den fulde vejledning.

Ok. Når du starter på nedenstående, så tag internetkablet ud indtil du er helt færdig.
*******************
(1)
Deaktiver systemgendannelse.

Genstart computeren i fejlsikret tilstand.

Fjern huntbar http://www.spywareguide.com/product_show.php?id=426, se afsnittet "Manual removal:
Unregister the files:
regsvr32 /u "C:\Program Files\Common Files\MSIETS\msiets.dll"
regsvr32 /u "C:\Program Files\Common Files\MSIETS\mslink.dll"
You also want to unregister all the dll's in the folder:
c:\program files\common files\wintools\

Look for a directory/folder at this location:
c:\program files\common files\wintools\
There will be three main file all running in memory. You'll need to end process on each of them before you can delete the folder.
The file names are
WSUP.exe
WToolsA.exe
Then delete them manually

Hvis dette ikke lykkedes, så fjernes mwav.exe den måske (se senere).

(2)
I hijackthis vælg misc tools -> open process manager, og vælg filerne:
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
C:\WINDOWS\svchost.exe
... og klik på kill process.

Stadig i HijackThis klik på config -> misc tools -> delete an NT service. Skriv teksten "explorex" og tryk på ok. Gentag dette for teksterne "PLSRemoteSvc", "PowerManager" og "slaker".

Derefter fix følgende linjer med HijackThis:
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)

(3)
Åbn en tilfældig mappe, i menuen klik på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende filer:
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
C:\WINDOWS\svchost.exe (den rigtige fil er C:\WINDOWS\system32\svchost.exe, som ikke skal slettes)

(4)
Start -> programmer -> tilbehør -> systemværktøjer -> diskoprydning -> Slet Temporary internet files, papirkurv og midlertidige filer.

(5)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage et par timer.

(6)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

Hej igen...
Sorry - men jeg føler mig lidt som en hmmmm...Ligemeget hvad jeg gøre så virker det ikke selvom jeg følger dine forskrifter til punkt og prikke.
1.
Jeg kan ikke finde de filer jeg skal slette - missing
2.
Jeg kan ikke finde de tjenester jeg skal stoppe?
3.
Huntbar? Hvordan unregister man?

Følgende del af mwav scanningen kopierede jeg - kan det bruges?

Wed Jun 29 07:43:27 2005 => ***** Scanning Service Files *****
Wed Jun 29 07:43:27 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Wed Jun 29 07:43:27 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\System32\winupdate.exe" -service in SYSTEM\CurrentControlSet\Services\a3x
Wed Jun 29 07:43:29 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\System32\explorexr.exe" -service in SYSTEM\CurrentControlSet\Services\explorex
Wed Jun 29 07:43:30 2005 => ERROR!!! Invalid Entry \??\C:\DOCUME~1\Bruger\LOKALE~1\Temp\lredbooo.sys in SYSTEM\CurrentControlSet\Services\lredbooo
Wed Jun 29 07:43:32 2005 => ERROR!!! Invalid Entry C:\WINDOWS\SYSTEM32\PLSRemote.exe in SYSTEM\CurrentControlSet\Services\PLSRemoteSvc
Wed Jun 29 07:43:32 2005 => ERROR!!! Invalid Entry C:\WINDOWS\svchost.exe in SYSTEM\CurrentControlSet\Services\PowerManager
Wed Jun 29 07:43:33 2005 => ERROR!!! Invalid Entry "C:\WINDOWS\System32\WINTCPIP.EXE" -service in SYSTEM\CurrentControlSet\Services\slaker

Hijack loggen ser således ud:
Logfile of HijackThis v1.99.1
Scan saved at 11:49:15, on 29-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Documents and Settings\Bruger\Skrivebord\Sikkerhed\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.dk/Default.asp?Ath=f
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O17 - HKLM\System\CS2\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

Kan ikke fixe de 4 023 du bad mig om :-(
Mvh

Det er heller ikke så nemt at slippe af med spyware, især ikke det som klassificeres af hijackthis med 023.
Bare rolig, det skal nok lykkedes. Alle gode gange fem, eller hvad vi nu er kommet til.

Alt nedenstående skal udføres i fejlsikret tilstand.
********************
Følg vejledningen i punkt (1) ovenfor.

Mht. Huntbar: Du unregistrerer en fil ved at ved trykke start -> kør, og indtaste linjen:
regsvr32 /u "C:\Program Files\Common Files\MSIETS\msiets.dll"
regsvr32 /u "C:\Program Files\Common Files\MSIETS\mslink.dll"
en ad gangen.

********************
Klik start -> kør, og skriv "services.msc" og tryk ok.
Find linjen med navnet "Windows Explorex Loader ", dobbeltklik -> tryk på stop -> egenskaber -> skift starttype til deaktiveret.
Gentag dette for linjerne:
” PLSRemote Service”
” Power Manager”
” Network Interface”
************
Gentag punkt (2) ovenfor, med filerne (det er ikke sikkert at filerne eksisterer):
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\WINTCPIP.EXE

Og linjerne:
O23 - Service: Windows Explorex Loader (explorex) - Unknown owner - C:\WINDOWS\System32\explorexr.exe" -service (file missing)
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32\WINTCPIP.EXE" -service (file missing)
*********************
Godt at du kopiere loggen fra mwav scanningen, da der er noget ekstra som skal fjernes.
Gentag punkt (3) ovenfor, med filerne:
C:\WINDOWS\System32\explorexr.exe
C:\WINDOWS\SYSTEM32\PLSRemote.exe
C:\WINDOWS\System32\WINTCPIP.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\winupdate.exe
C:\DOCUME~1\Bruger\LOKALE~1\Temp\lredbooo.sys
*************************
Følg punkt (4), (5) og (6) ovenfor.

Hej levich
Så kom jeg lidt videre... :-)

Eneste punkt jeg ikke kunne var at unregister huntbaren. Couldn't find library - begge gange både i fejlsikret og ikke fejlsikret.
Resten er væk
Logfile of HijackThis v1.99.1
Scan saved at 14:02:01, on 29-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
C:\Programmer\Ahead\InCD\InCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmer\Winamp\winampa.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bruger\Skrivebord\Sikkerhed\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.dk/Default.asp?Ath=f
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.4000.1001\da\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msnappau] "C:\Programmer\MSN Apps\Updater\01.02.3000.1001\da\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec WinFax Starter Port.lnk = C:\Programmer\Microsoft Office\Office\1030\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} - http://advnt01.com/dialer/internazionale_ver10.CAB
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O17 - HKLM\System\CS2\Services\Tcpip\..\{1562BE5D-EA3B-4986-95A1-3CE9688EBD90}: NameServer = 194.239.134.83
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

Mvh

levich - læg venligst et svar så du kan få point. Tak for hjælpen
mvh

svar

Levich -> Skulle du ikke lige få fjernet den about:blank

arlet tak for tippet, men jeg har selv fjernet den :-)
mvh

Den er stadig i loggen*S*

Jo da arlet, hvor kom den fra?

florint -> kør hijackthis og fix linjen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank