CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede doublejoble Praktikant
07. november 2005 - 19:20 Der er 31 kommentarer og
2 løsninger

har fået en win32 virus

Min maskine er blevet inficeret med en win32 virus som bl.a. påvirker internet explorer og laver alle mulige nye ikoner på den.
Den hedder Win32.DlStwoyle.J trojan.
Jeg kan ikke finde noget om den på nettet
Mit virusprogram (eTrust) kan ikke fjerne den så jeg håber at kunne få den ud af systemet ved hjælp af hijackthis og eksperterne på eksperten.
Her er min log, håber meget at nogen vil hjælpe mig:

Logfile of HijackThis v1.97.7
Scan saved at 19:23:46, on 07-11-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\system32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RoamMgr.exe
C:\WINNT\system32\ZCfgSvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\1XConfig.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\ATK0100\Hcontrol.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\ATK0100\ATKOSD.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\mssearchnet.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAV.exe
\Peacock\papkassen\klientdiskette\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.107:8080;https=192.168.2.107:8080;socks=192.168.2.107:1080;ftp=:;gopher=192.168.2.107:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\system32\hp6CAA.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [vSubst L:] vSubst L:  C:\LOVEAC~1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Startup: MailWasherPro.lnk = C:\Programmer\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gyldendals Røde Ordbøger.lnk = C:\Programmer\TEXTware\Illuminator 2\Illview02.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} (Toolbar Reg Sniff Activate) - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.hornsrev.dk/live/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38087.1059143519
O16 - DPF: {A8658086-E6AC-4957-BC8E-8D54A7E8A790} (GDIChk Object) - http://www.microsoft.com/security/controls/GDI/0/GDIChk.CAB
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/f8e4bfa101e77d/player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.107
Avatar billede kalp Novice
07. november 2005 - 19:21 #1
Ny log med det nye hijackthis

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe
Avatar billede doublejoble Praktikant
07. november 2005 - 19:47 #2
kommer her:

Logfile of HijackThis v1.99.1
Scan saved at 19:51:07, on 07-11-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\system32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RoamMgr.exe
C:\WINNT\system32\ZCfgSvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\1XConfig.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\ATK0100\Hcontrol.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\ATK0100\ATKOSD.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\mssearchnet.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programmer\Internet Explorer\IEXPLORE.EXE
\Peacock\papkassen\programfiler\zip og exe filer\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.107:8080;https=192.168.2.107:8080;socks=192.168.2.107:1080;ftp=:;gopher=192.168.2.107:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: HomepageBHO - {e9ccf15d-4c68-4b5a-9e9a-8e12e4bd39bd} - C:\WINNT\system32\hp6CAA.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [vSubst L:] vSubst L:  C:\LOVEAC~1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Startup: MailWasherPro.lnk = C:\Programmer\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gyldendals Røde Ordbøger.lnk = C:\Programmer\TEXTware\Illuminator 2\Illview02.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} (Toolbar Reg Sniff Activate) - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.hornsrev.dk/live/AxisCamControl.ocx
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/f8e4bfa101e77d/player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.107
O20 - Winlogon Notify: Sebring - C:\WINNT\system32\LgNotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\system32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINNT\system32\RoamMgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINNT\system32\S24EvMon.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
Avatar billede fromsej Praktikant
07. november 2005 - 20:00 #3
hp6CAA.tmp = Smitfraud.
Avatar billede doublejoble Praktikant
07. november 2005 - 20:08 #4
smitfraud??
Avatar billede fromsej Praktikant
07. november 2005 - 20:15 #5
Navnet på infektionen, det er en info til Kalp, så det rigtige fix bliver brugt.
Avatar billede doublejoble Praktikant
07. november 2005 - 20:53 #6
ok - tak for hjælpen fromsej
Avatar billede doublejoble Praktikant
07. november 2005 - 21:30 #7
der sker nogle mærkelige ting med den...
ctrl-alt-del er holdt op med at virke nu..??
Avatar billede kalp Novice
08. november 2005 - 16:19 #8
Jeg ser på den nu:)
Det havde ellers også været i orden hvis du havde taget den i mit fravær fromsej:)
Avatar billede doublejoble Praktikant
08. november 2005 - 16:27 #9
Tak Kalp
Jeg glæder mig til at se, hvad du finder ud af.
Avatar billede kalp Novice
08. november 2005 - 16:30 #10
Download og gem denne scanner på skrivebordet. (Installer programmet, men vent med et scanne til jeg siger til!)
http://www.spywareinfo.dk/download/mwav.exe

Download Ewido (Trial version) (Installer og opdater programmet, men vent med et scanne til jeg siger til!)
http://shop.element5.com/product.html?productid=531168

Download smitfraud1.zip. Vi skal bruge denne om lidt.
http://www.fbeej.dk/Programmer/smitfraud1.zip

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Pak smitfraud1.zip ud og dobbelklik på registreringsfilen der er blevet pakket ud. Sig ja til, at gemme ændringerne i registreringsdatabasen.

Scan med Ewido nu!

Højreklik på windows start knappen (helt nede i venstre hjørne af din skærm) og vælge "Stifinder", klik på Funktioner->Mappeindstillinger->Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Slet denne mappe:

C:\LOVEAC~1\

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O4 - HKLM\..\Run: [vSubst L:] vSubst L: C:\LOVEAC~1
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - ´
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://130.228.229.70/ecwplugins/ncs.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/f8e4bfa101e77d/player.virtools.com/downloads /player/Install3.0/Installer.exe

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis muligvis selv kunne slette!)

Filerne

C:\WINNT\system32\nvctrl.exe
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\hp6CAA.tmp

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny hijackthis log herind så jeg kan se om vi fik fjernet det hele eller om noget skulle være blevet overset:)

Du kan hente taskmgrenab herfra imens du venter på mit svar http://www.dougknox.com/xp/utils/xp_taskmgrenab.htm

kør filen og så virker ctrl+alt+delete igen:)
Avatar billede doublejoble Praktikant
08. november 2005 - 18:21 #11
Hej kalp

Nu er maskinen igang med at scanne med ewido - det tager noget tid og jeg har et ærinde i aften. Jeg vender tilbage sidst på aftenen med en ny logfil.
Den må du meget gerne kigge på når du har tid..

Tak kalp - jeg er meget taknemmelig for din hjælp. Jeg følte mig noget på herrens mark.

Ewido har indtil nu fundet 360 skadelige filer, heraf en del spyware. Det er jeg noget forskrækket over. Jeg har etrust pest patrol installeret og kørende men det har ikke fået øje på alle disse filer. Det tyder på at det er et rigtigt dårligt program.
Har du et forslag til et godt program, som kan holde spyware væk fra maskinen?
Avatar billede fromsej Praktikant
08. november 2005 - 18:56 #12
08/11-2005 16:19:20 >> Ja og nej.
"Aftalen" er samme hjælper hele vejen.*S*
Forslag: En slags underforum hvor vi kan, både udveksle erfaringer, og aftale diverse omkring de enkelte tråde.
Det rent praktiske i det, har jeg ikke noget forslag til, medmindre vi simpelthen opretter en tråd til os selv og bruger den?
Avatar billede doublejoble Praktikant
09. november 2005 - 01:01 #13
Hej Kalp

Nu har jeg meget nøje fulgt dine anvisninger - det var noget af en omgang...
Her kommer den nye hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 00:59:58, on 09-11-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RoamMgr.exe
C:\WINNT\system32\ZCfgSvc.exe
C:\WINNT\system32\1XConfig.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\ATK0100\Hcontrol.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\ATK0100\ATKOSD.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\TEXTware\Illuminator 2\Illview02.exe
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\WINNT\explorer.exe
C:\Programmer\TEXTware\QUICKfind\QFServer.exe
C:\Programmer\hijackthis\hjt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.107:8080;https=192.168.2.107:8080;socks=192.168.2.107:1080;ftp=:;gopher=192.168.2.107:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Startup: MailWasherPro.lnk = C:\Programmer\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gyldendals Røde Ordbøger.lnk = C:\Programmer\TEXTware\Illuminator 2\Illview02.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.107
O20 - Winlogon Notify: Sebring - C:\WINNT\system32\LgNotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\system32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINNT\system32\RoamMgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINNT\system32\S24EvMon.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe


Jeg har et par kommentarer:

Da jeg ville fixe med hijackthis fik jeg denne meddelelse:
Unexpected error occurred!
Error #52 (Bad file name or number) in Sub GetLongPath(vSubst L: ).

Please send a report to merijn@spywareinfo.com, mentioning what you were doing, and what version of Windows you have.

men det så ud til at den fixede fint.

Og da jeg genstartede efter at have scannet med mwav kom ewido med en alarm om at den havde fundet en TrojanDownloader.Zlob.az.
ewido rensede den væk.

Det er utroligt hvor meget skidt der lå på min maskine, jeg er rystet.
Avatar billede kalp Novice
09. november 2005 - 07:42 #14
prøv at fikse denne linje med hijackthis igen og i fejlsikret tilstand selvfølgelig

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.107:8080;https=192.168.2.107:8080;socks=192.168.2.107:1080;ftp=:; gopher=192.168.2.107:8080

men ellers ser det meget bedre ud nu:)

Kommentar: fromsej
08/11-2005 18:56:28

det ville være en fin ide og ikke noget som behøver være særlig avanceret... og vil sikkert sagtens kunne udvikle det hvis det altså så også ville blive anvendt:)
Avatar billede doublejoble Praktikant
09. november 2005 - 16:59 #15
Hej Kalp

Nu har jeg fikset den sidste linje også..
og det har afhjulpet problemerne på min maskine.
Men ewido bliver ved med at melde om trojanere som den så renser op
skal jeg gøre mere?
Avatar billede fromsej Praktikant
09. november 2005 - 17:48 #16
1. Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.

2. Hent Ad-aware

http://spywarefri.dk/vaerktoj.htm#ad-aware

Installer programmet, start det og opdater online, du skal IKKE scanne endnu.
Indstil Ad-Aware efter denne vejledning:
http://www.spywarefri.dk/manualer/adaware-manual.htm
Luk Ad-Aware igen.

3. Hent Ewido:

http://www.spywarefri.dk/downloads1/ewido-setup.exe

Installer og kør Ewido - Opdater straks efter installationen programmet (men lad være med at scanne endnu).

4. Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:

http://fromsej.dk/html/xpfejl.html


5. Åbn mappen smitRem,  og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

6. Kør en fuld scanning med Ad-Aware, fjern alt det finder.

7. Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind.

9. Klik på Start->Kontrolpanel->Skærm->Skrivebord->Tilpas Skrivebordet->Web fjern flueben i Security Info og View my Active desktop as a web page (Fortæl lige hvis de hedder noget andet).

9. Genstart almindeligt, kør denne onlinescanner:

http://www.pandasoftware.com/activescan/activescan.asp?Language=2&Country=63&Partner=1&Ref=EN-PR-AS-107 , (sæt den til Automatic removal).

10. Genstart og kom med en frisk Hijackthislog, samt loggen fra Ewido. Find smitfiles.txt via Start/Søg. Kopier også denne log ind.
Avatar billede majsmarken Nybegynder
09. november 2005 - 22:57 #17
<fromsej>: GoSub http://exp.dk/spm/663147 ??? (Du har vistnok 'fixet' en sådan før ?)
Avatar billede doublejoble Praktikant
10. november 2005 - 00:15 #18
Hej Fromsej

Nu har jeg gennemgået din procedure - tak for hjælpen!

Ewido fandt ingenting, så der er ingen logfil.

jeg kunne ikke finde noget security info eller noget der lignede, måske er det fordi jeg bruger win2000??

panda som jeg kørte til sidst fandt en virus som den fjernede og 8 spywares.

Her kommer hjt loggen:
Logfile of HijackThis v1.99.1
Scan saved at 00:07:19, on 10-11-2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\S24EvMon.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINNT\system32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RoamMgr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ZCfgSvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\1XConfig.exe
C:\WINNT\ATK0100\Hcontrol.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
C:\WINNT\ATK0100\ATKOSD.exe
C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\WINNT\system32\internat.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programmer\TEXTware\HotKey\TWALINK.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programmer\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.politiken.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Hcontrol] C:\WINNT\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programmer\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmer\ASUS\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programmer\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programmer\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Startup: MailWasherPro.lnk = C:\Programmer\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gyldendals Røde Ordbøger.lnk = C:\Programmer\TEXTware\Illuminator 2\Illview02.exe
O4 - Global Startup: HotKey.lnk = C:\Programmer\TEXTware\HotKey\TWALINK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.107
O20 - Winlogon Notify: Sebring - C:\WINNT\system32\LgNotify.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programmer\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\system32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINNT\system32\RoamMgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINNT\system32\S24EvMon.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Og her kommer smitfiles:

smitRem © log file
    version 2.7

    by noahdfear


Microsoft Windows 2000 [version 5.00.2195]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ncompat.tlb
nvctrl.exe
logfiles


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



  Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)
Avatar billede fromsej Praktikant
10. november 2005 - 06:59 #19
Det ser fornuftigt ud, er dit problem løst?
Avatar billede doublejoble Praktikant
10. november 2005 - 08:51 #20
Ja, næsten.
Jeg mangler kun en ting nu - det er at få ctrl-alt-del til at virke igen.
Kalp gav mig et link, som jeg prøvede, men det fungerede ikke.
Har du en idé?
Avatar billede majsmarken Nybegynder
10. november 2005 - 09:41 #21
(Du ka' også bruge [Ctrl][Shift][Esc] )
Avatar billede kalp Novice
10. november 2005 - 10:33 #22
Doublejoble >> beklager jeg har været væk!

Tryk start->kør og skriv "regedit".. tryk enter.

Naviger til følgende punkt
 
HKEY_CURRENT_USER -> Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System.
 
kig efter DisableTaskMgr. klik på REG_DWORD. Ret Value=1 til Value=0;

Luk regedit.. genstart og se om det virker..

fromsej >> Tak for hjælpen!
Avatar billede kalp Novice
10. november 2005 - 10:56 #23
Tog jeg fejl af disse? Jeg kan ikke lige slå dem op her og heller ikke hvorfor jeg har ment at brugeren skal fikse dem, men nu er det lige nævnt og om ikke andet så tjekker jeg dem senere hvis der ikke er kommet respons på det:)

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 192.168.2.107
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.107
Avatar billede fromsej Praktikant
10. november 2005 - 18:52 #24
Det er interne IPér, 192.168.xxx.xxx bruges i interne netværk.
Det kan du få meget bedre forklaret af en netværksekspert, og det skal jeg IKKE have skyld for at være.*G*
Avatar billede doublejoble Praktikant
11. november 2005 - 00:22 #25
Den nøgle i registreringsdatabasen er allerede 0... underligt.

Har du et andet bud?

Fromsej - læg et svar. Jeg vil meget gerne give jer nogle point for jeres store arbejde.
Avatar billede ejvindh Ekspert
11. november 2005 - 08:40 #26
Prøv at downloade denne reg-fil. Dobbeltklik på den, og sig ja til at tilføje oplysningerne til registreringsdatabasen.
http://www.kellys-korner-xp.com/regs_edits/taskmanager.reg
Avatar billede fromsej Praktikant
11. november 2005 - 18:00 #27
Svar kommer her, men vi skal lige have det sidste på plads også.
Avatar billede doublejoble Praktikant
11. november 2005 - 22:09 #28
Hej Ejvindh
Når jeg dobbeltklikkede på linket åbnede den filen.
Så gik jeg ind i registreringsdatabasen og tjekkede disse nøgler og de var allesammen som i filen... underligt.
Avatar billede doublejoble Praktikant
11. november 2005 - 22:10 #29
Nu virker det ligepludselig nogengange, men ikke altid?
Det er mærkeligt.
Avatar billede fromsej Praktikant
11. november 2005 - 22:12 #30
Den dumme:
Prøv et andet tastatur, det kan være fejlen.
Avatar billede johnstigers Seniormester
11. november 2005 - 22:12 #31
Fromsej> vil du kigge her: http://exp.dk/spm/663689
Avatar billede doublejoble Praktikant
13. november 2005 - 19:35 #32
Hej Kalp og fromsej

Nu opgiver jeg at få ctrl-alt-del til at virke, jeg vil ikke bakse mere med det for nu.
Ellers virker maskinen perfekt igen og jeg har en god fornemmelse af at maskinen er renset igen.

Tak for jeres store hjælp. Jeg er meget imponeret over jeres viden og jeres store arbejde. Tak.

Også tak til Ejvindh for dit indlæg...
Avatar billede fromsej Praktikant
13. november 2005 - 19:38 #33
Velbekomme, og tak for point.*S*

Har du prøvet med et andet tastatur?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/0623:48 Mærkelige Mapper i Stifinder? Af jonpet i PC
27/0608:16 Nulstille pc'er Af 1Dorte i Windows
26/0613:50 Brugt Mac bærbar Af costanza1974 i Mac
26/0608:55 Scanning af stregkode til flere celler Af zekedk i Excel
25/0616:21 Microsoft Office 2021 Professional Plus Af Mariann i Office & Kontorpakker
White papers
Flere white papers »


Premium
Teaser billede
Landets største softwareselskab løfter salget med mere end 100 millioner kroner - til trods for færre medarbejdere
Læs mere »
Slut med den berømte og berygtede Blue Screen of Death efter 40 år: Afløser er på plads
Thorborg har investeret for millioner i Visma - nu håber han at score kassen på en børsnotering
TDC hæver prisen med 3.000 procent for andre internetselskaber
Se alle »
Computerworld
Teaser billede
Kæmpe TDC-handel i fare: Minister kaldt i samråd, mens styrelse gransker salget
Læs mere »
Test: Endelig en skærm med pro-egenskaber, der ikke flår din økonomi i stykker
Hundredevis af printer-modeller ramt af sårbarheder
Verdensberømt lommeregner-firma vil investere mere end 380 milliarder kroner i amerikansk chipproduktion
Se alle »
CIO
Teaser billede
Sådan får hackere adgang til Gmail-konti med tofaktor-login
Læs mere »
It-sikkerheden dumper totalt i disse danske kommuner: Ny kortlægning viser, hvilke der står pivåbne for cyberangreb
Europæere flygter fra Trumps tech-venner: Mange skifter til disse tjenester
CTO til kunder efter prisstigninger på 1.500 procent: Det bliver kun dyrt, fordi I bruger løsningen forkert
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
NNIT har fyret 100 medarbejdere - nedjusterer markant
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Se alle »
White paper
Teaser billede
Undgå at printeren bliver svageste led i sikkerheden
Læs mere »
IT i front: Sådan bliver netværk en strategisk driver
Sådan får du reel værdi ud af Microsoft Copilot
Cybersikkerhed 2025: Er din branche blandt de mest udsatte?
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »