Min PC er Hijack'et

Ja, jeg ser på det.

Læs alle punkterne inden du gør noget.
Bemærk: den sidste linje i punkt (3) og (4) skal ikke fixes hhv. slettes, hvis du kender programmet ”vc memo”.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.luvlbzxxtqgde.com/PChUnGJRnR1dNyPHv6uw6_eaZ5bil_5auTso4qqJZuKArpLIpF5hMX4KIKQb5e91.html
O2 - BHO: (no name) - {45B098AE-33AD-7F94-9445-45E10FECE8E9} - C:\DOCUME~1\BJRGPO~1\APPLIC~1\OBJSTA~1\Movemath.exe
O4 - HKLM\..\Run: [MixMailAxisArmy] C:\Documents and Settings\All Users\Application Data\64FindMixMail\idledefault.exe
O4 - HKCU\..\Run: [vc memo] C:\DOCUME~1\BJARNI~1\APPLIC~1\SlowBias\GridTray.exe

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende filer:
C:\DOCUME~1\BJRGPO~1\APPLIC~1\OBJSTA~1\Movemath.exe
C:\Documents and Settings\All Users\Application Data\64FindMixMail\idledefault.exe
C:\DOCUME~1\BJARNI~1\APPLIC~1\SlowBias\GridTray.exe

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Levich: Bare et tip. Du skal huske at checke %windir%\Tasks for jobs af denne form:

You're looking for the 16 digit .job entry(s)
Some times there is only one. Three examples:
A2864FEB9185C5B7.job
A9EAB2A0918129FC.job
B1C363239298E0CB.job

Hvis de findes skal de fixes, ellers bliver det hele genetableret i løbet af få dage igen. Lop-infektionen er blevet avanceret efterhånden :-)

Levich, de to du nævner som måskeér indikerer Lop, lige så tydeligt som de to du ikke er i tvivl om.
Jeg har lavet en, kort, beskrivelse af symptomerne her:
http://www.eksperten.dk/spm/633478#rid5664201
Måske skal jeg se at få lavet en artikel dedikeret til Lopfjernelse og -symptomer?

Den nye Hijackfil, men jeg tror ikke at hijacken er væk

Logfile of HijackThis v1.99.1
Scan saved at 21:05:22, on 14-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmer\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmer\SpyHunter\PopupBlocker\EnigmaPopupStop.exe
C:\Programmer\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmer\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Bjarni Johansen\Skrivebord\hijackthis\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmer\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmer\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmer\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [EnigmaPopupStop] C:\Programmer\SpyHunter\PopupBlocker\EnigmaPopupStop.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmer\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmer\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [MixMailAxisArmy] C:\Documents and Settings\All Users\Application Data\64FindMixMail\Bird part.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat-assistenten.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe

Denne linje:
O4 - HKLM\..\Run: [MixMailAxisArmy] C:\Documents and Settings\All Users\Application Data\64FindMixMail\Bird part.exe
er kommet til siden sidste hijackthis-log. Det tyder på, at der er noget andet som skal fjernes.
Det lader til at ejvindh og fromsej har en løsning, men jeg forstår ikke deres kommentarer. Hvad skal spørgeren gøre - helt konkret.

Levich >> Det er ikke for at blande os utidigt, men Lop er og bliver min yndlingsfjende, i og med at de hele tiden udvikler sig, gør vi også.*S*
Det er nu heller ikke en sindssygt uddybende forklaring vi har givet, nu skal jeg rette lidt op på det.

Hent fl.zip, pak den ud og kør fl.bat - programmet laver en lille tekst fil, som du også skal kopiere herind:
http://www.ctrlaltdel.dk/Programmer/fl.zip

Det der skal kigges efter er mapper med underlige navne, som regel sammensat af to eller flere engelske ord på fire bogstaver, de gemmer sig for det meste i Application Data, er dog på det seneste set i Programmer og/eller Program Files, samt i den nederste del af fl loggen, i Joblisten, jobs der hedder noget alá A2864FEB9185C5B7.job
Jeg følger med på sidelinien, medmindre du spørger, så skal jeg nok svare efter bedste evne.

Undskyld til bjarni_johansen, men vi er i en løbende proces i kampen mod svinene, og er sommetider nødt til at både lære selv og videregive erfaringer.

Jeg kørte det hele en gang til og slettede alle bibliotekerne der hed C:\Documents and Settings\All Users\Application Data\64FindMixMail\ Det lyder lidt desperat men det var jeg også, men det virkede. Så Levich får pointene

Gør lige dette:
Hent fl.zip, pak den ud og kør fl.bat - programmet laver en lille tekst fil, som du også skal kopiere herind:
http://www.ctrlaltdel.dk/Programmer/fl.zip

Ellers får du det ikke væk, de jobs plejer at være trigget til midnat, så i morgen er infektionen tilbage.

skriv et svar Levichså får du point. Og tak for den hurtige hjælp alle

Hej Fromsej
Her er resultatet af fl.bat

Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\All Users\Application Data

03-05-2004  00:08    <DIR>          Adobe
18-08-2005  22:47    <DIR>          Creative
08-10-2004  10:50    <DIR>          e-Safekey
01-12-2004  18:40              308 hpzinstall.log
08-08-2004  18:23    <DIR>          MSN6
16-08-2005  22:14    <DIR>          Spybot - Search & Destroy
02-05-2004  22:26    <DIR>          Symantec
16-08-2005  21:16    <DIR>          Windows Genuine Advantage
              1 fil(er)              308 byte
              7 mappe(r)  16.216.870.912 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bjarni B Poulsen\Application Data

17-05-2004  13:16    <DIR>          Adobe
18-12-2004  01:11    <DIR>          C2Media
10-08-2005  16:59    <DIR>          Creative
18-08-2005  19:04    <DIR>          Google
03-05-2004  06:34    <DIR>          Identities
18-08-2005  19:04    <DIR>          InstallShield
18-08-2005  19:04    <DIR>          InstallShield Installation Information
07-07-2005  14:29    <DIR>          Jasc Software Inc
18-12-2004  01:16    <DIR>          Lavasoft
08-08-2005  18:53    <DIR>          Macromedia
24-01-2005  21:01    <DIR>          Messenger Plus! 3
03-05-2004  06:34    <DIR>          Sun
              0 fil(er)                0 byte
              12 mappe(r)  16.216.866.816 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bjarni Johansen\Application Data

15-05-2004  15:13    <DIR>          Adobe
18-08-2005  22:49    <DIR>          AdobeUM
19-08-2005  17:01    <DIR>          Creative
15-05-2004  20:34    <DIR>          Help
03-05-2004  06:34    <DIR>          Identities
02-11-2004  18:38    <DIR>          Jasc Software Inc
18-12-2004  00:50    <DIR>          Lavasoft
12-05-2004  20:11    <DIR>          Macromedia
20-01-2005  21:55    <DIR>          RecordPad
09-01-2005  12:35    <DIR>          SmartDraw
03-05-2004  06:34    <DIR>          Sun
              0 fil(er)                0 byte
              11 mappe(r)  16.216.866.816 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bj›rg Poulsen\Application Data

12-05-2004  15:41    <DIR>          Adobe
22-06-2005  15:29    <DIR>          AdobeUM
17-05-2005  17:27    <DIR>          Creative
03-05-2004  06:34    <DIR>          Identities
17-05-2005  17:11    <DIR>          InterTrust
26-12-2004  18:50    <DIR>          Jasc Software Inc
29-07-2005  14:25    <DIR>          Lavasoft
16-01-2005  16:31    <DIR>          Macromedia
08-08-2004  18:24    <DIR>          MSN6
09-01-2005  11:26    <DIR>          SmartDraw
03-05-2004  06:34    <DIR>          Sun
              0 fil(er)                0 byte
              11 mappe(r)  16.216.866.816 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Default User\Application Data

03-05-2004  06:34    <DIR>          .
03-05-2004  06:34    <DIR>          ..
02-06-2003  11:35                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  16.216.866.816 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A1AE09C5919DBA29.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\bjarni~1\applic~1\slowbias\funk heck plus.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Bjarni Johansen'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      09/14/2005 18:00:00
  NextRun:            09/15/2005  0:00:00
  StartError:        S_OK
  ExitCode:          0
  Status:            SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      06/04/1999
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0


[TRACE] Activating job 'A313A7B7918026E3.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\bjrgpo~1\applic~1\slowbias\funk heck plus.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Bjørg Poulsen'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      09/07/2005 10:00:00
  NextRun:            09/15/2005  0:00:00
  StartError:        0x80070003
  ExitCode:          0
  Status:            SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      02/09/2001
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0

Vi prøver lige dette program først, som angiveligt kan fjerne alle lop.com infektioner. Hent en prøveversion af Superadblocker her http://www.superadblocker.com/ Installer programmet, opdater det, start op i fejlsikret, scan med SuperSpywareScanner, og lad den slette hvad den finder. Genstart til normal tilstand, og kom med en frisk log. Hvis det ikke løser problemet, må vi i gang med at se på "planlagte opgaver".

Nåh ok, glem det. Jeg havde glemt at opdatere inden jeg sendte *S*

<bjarni_johansen>: Der ka' du se/læse ->

'A1AE09C5919DBA29.job'
'A313A7B7918026E3.job'

Det er sådan nogle som <fromsej> & Co. leder efter. Ref.: [14/09-2005 22:48:43]
Det er en automatisk programstart - startende næste gang
[NextRun: 09/15/2005  0:00:00]
der så vil rulle programmet
'c:\docume~1\bjrgpo~1\applic~1\slowbias\funk heck plus.exe'
og så er balladen fremme igen !!!
Meget frækt!!!

<fromsej> skal nok fortælle hvad du skal gøre med dem; men du ka' næsten forestille dig hvad...

Kør Hijackthis og fix:
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [MixMailAxisArmy] C:\Documents and Settings\All Users\Application Data\64FindMixMail\Bird part.exe


Klik så på Start->Kør kopier linierne her ind, for hver linie klikker du OK.

schtasks /delete /TN A1AE09C5919DBA29 /f klik OK.
schtasks /delete /TN A313A7B7918026E3 /f klik OK.

Genstart i fejlsikret, find og slet:

C:\Documents and Settings\All Users\Application Data\64FindMixMail\
C:\Documents and Settings\Bjarni B Poulsen\Application Data\C2Media\
C:\Documents and Settings\Bjarni B Poulsen\Application Data\Messenger Plus! 3\


Genstart normalt, kom med en frisk Hijackthislog og fl log.

Det skal selvfølgelig være:(Det er tidligt på dagen*S*)
schtasks /delete /TN A1AE09C5919DBA29 /f
schtasks /delete /TN A313A7B7918026E3 /f

Her de to filer.
Logfile of HijackThis v1.99.1
Scan saved at 17:01:06, on 15-09-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
C:\Programmer\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programmer\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmer\SpyHunter\PopupBlocker\EnigmaPopupStop.exe
C:\Programmer\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Programmer\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Documents and Settings\Bjarni Johansen\Skrivebord\hijackthis\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmer\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmer\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Programmer\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programmer\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [EnigmaPopupStop] C:\Programmer\SpyHunter\PopupBlocker\EnigmaPopupStop.exe
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programmer\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programmer\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperAdBlocker] C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 - Global Startup: Acrobat-assistenten.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\hpzipm12.exe
O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Programmer\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmer\Analog Devices\SoundMAX\SMAgent.exe

og FL

Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\All Users\Application Data

03-05-2004  00:08    <DIR>          Adobe
18-08-2005  22:47    <DIR>          Creative
08-10-2004  10:50    <DIR>          e-Safekey
01-12-2004  18:40              308 hpzinstall.log
08-08-2004  18:23    <DIR>          MSN6
16-08-2005  22:14    <DIR>          Spybot - Search & Destroy
02-05-2004  22:26    <DIR>          Symantec
16-08-2005  21:16    <DIR>          Windows Genuine Advantage
              1 fil(er)              308 byte
              7 mappe(r)  14.384.459.776 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bjarni B Poulsen\Application Data

17-05-2004  13:16    <DIR>          Adobe
10-08-2005  16:59    <DIR>          Creative
18-08-2005  19:04    <DIR>          Google
03-05-2004  06:34    <DIR>          Identities
18-08-2005  19:04    <DIR>          InstallShield
18-08-2005  19:04    <DIR>          InstallShield Installation Information
07-07-2005  14:29    <DIR>          Jasc Software Inc
18-12-2004  01:16    <DIR>          Lavasoft
08-08-2005  18:53    <DIR>          Macromedia
03-05-2004  06:34    <DIR>          Sun
              0 fil(er)                0 byte
              10 mappe(r)  14.384.455.680 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bjarni Johansen\Application Data

15-05-2004  15:13    <DIR>          Adobe
18-08-2005  22:49    <DIR>          AdobeUM
19-08-2005  17:01    <DIR>          Creative
15-05-2004  20:34    <DIR>          Help
03-05-2004  06:34    <DIR>          Identities
02-11-2004  18:38    <DIR>          Jasc Software Inc
18-12-2004  00:50    <DIR>          Lavasoft
12-05-2004  20:11    <DIR>          Macromedia
20-01-2005  21:55    <DIR>          RecordPad
09-01-2005  12:35    <DIR>          SmartDraw
03-05-2004  06:34    <DIR>          Sun
15-09-2005  07:13    <DIR>          SuperAdBlocker.com
              0 fil(er)                0 byte
              12 mappe(r)  14.384.455.680 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Bj›rg Poulsen\Application Data

12-05-2004  15:41    <DIR>          Adobe
22-06-2005  15:29    <DIR>          AdobeUM
17-05-2005  17:27    <DIR>          Creative
03-05-2004  06:34    <DIR>          Identities
17-05-2005  17:11    <DIR>          InterTrust
26-12-2004  18:50    <DIR>          Jasc Software Inc
29-07-2005  14:25    <DIR>          Lavasoft
16-01-2005  16:31    <DIR>          Macromedia
08-08-2004  18:24    <DIR>          MSN6
09-01-2005  11:26    <DIR>          SmartDraw
03-05-2004  06:34    <DIR>          Sun
14-09-2005  23:23    <DIR>          SuperAdBlocker.com
              0 fil(er)                0 byte
              12 mappe(r)  14.384.455.680 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\Default User\Application Data

03-05-2004  06:34    <DIR>          .
03-05-2004  06:34    <DIR>          ..
02-06-2003  11:35                62 desktop.ini
              1 fil(er)              62 byte
              2 mappe(r)  14.384.455.680 byte ledig
Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\LocalService\Application Data

Disken i drev C har ikke noget navn.
Diskens serienummer er 169D-9E26

Indhold af C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues
[TRACE] Activating job 'A313A7B7918026E3.job'
[TRACE] Printing all job properties

  ApplicationName:    'c:\docume~1\bjrgpo~1\applic~1\slowbias\funk heck plus.exe'
  Parameters:        ''
  WorkingDirectory:  ''
  Comment:            ''
  Creator:            'Bjørg Poulsen'
  Priority:          NORMAL
  MaxRunTime:        259200000 (3d  0:00:00)
  IdleWait:          10
  IdleDeadline:      60
  MostRecentRun:      09/07/2005 10:00:00
  NextRun:            09/15/2005 18:00:00
  StartError:        0x80070003
  ExitCode:          0
  Status:            SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                = 0
    StartOnlyIfIdle        = 0
    KillOnIdleEnd          = 0
    RestartOnIdleResume    = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn      = 1
    SystemRequired          = 0
    Hidden                  = 1
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:      02/09/2001
    EndDate:        00/00/0000
    StartTime:      00:00
    MinutesDuration: 1440
    MinutesInterval: 60
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0

bjarni_johansen -> jeg skal ikke have point. Fra nu af ser jeg blot med fra sidelinjen.

Tæt på, men der mangler lige dette job:
schtasks /delete /TN A313A7B7918026E3 /f

Din hijackthislog er ren nu, når du har brugt Start->Kør med den linie, genstarter du og laver en ny fl.bat log, tjek om der er et job der skal køre, hvis der ikke er, så er vi i mål.
Du skal også tjekke om din Norton er sat til at autoopdatere, og om det virker.

Hmm, det her irriterer mig, men da mappen er slettet burde det ikke være et problem.
NextRun: 09/15/2005 18:00:00

Levich >> Selvfølgelig skal du have din del af kagen, du har også ydet en indsats her.
Send lige en mail til from09sej (at) webspeed.dk

Ok, jeg smider et svar.

Så er alle job væk, jeg takker for hjælpen til alle
Venlig hilsen
Bjarni

Velbekomme, godt det lykkedes.

Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html

Point til fromsej og majsmarken: http://www.eksperten.dk/spm/648449