hjælp til spyware, Hijack this log

typer af fejl såsom ændret startside og ændret billed på skrivebord hvor der nu med rød skrift står "Spyware Infected"

Jeg skal nok se på det ca. kl. 2000, med mindre andre træder til inden da.

Da Levich ikke ser ud til at have taget den, kigger jeg den nu igennem :-)

Download CWschredder her:
http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

Hent Aboutbuster:
http://www.malwarebytes.biz/AboutBuster5.zip
(pak Aboutbuster ud til sin egen mappe på Skrivebordet).

Download og gem denne scanner på skrivebordet. Du skal ikke aktivere det endnu.
http://www.spywareinfo.dk/download/mwav.exe

Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

Gå ind i kontrolpanel-tilføj/fjern programmer, og se om du kan få lov til at afinstallere følgende programmer:
Mywebsearch

Tast ctrl-alt-delete, Klik på Jobliste/Taskmanager, Processer/Processes. Find nedenstående processer, højreklik på dem og vælg afslut proces.
crgq.exe
javaux32.exe
6.tmp
8.tmp
9.tmp

Klik på Start-kør. Skriv: Services.msc Tast OK.
Find følgende services, højreklik på dem og vælg egenskaber. Under starttype vælger du deaktiveret. Klik også på Stop:
"Network Security Service"

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\avdyy.dll/sp.html#83556
R3 - Default URLSearchHook is missing
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - (no file)
O2 - BHO: MySearch Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: Class - {6F4B23DA-F796-90AD-CDF9-FF9C25D11F73} - C:\WINDOWS\mfccy.dll
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [javaux32.exe] C:\WINDOWS\javaux32.exe
O4 - HKLM\..\Run: [8.tmp] C:\DOCUME~1\Carste\LOKALE~1\Temp\8.tmp.exe
O4 - HKLM\..\Run: [9.tmp] C:\DOCUME~1\Carste\LOKALE~1\Temp\9.tmp.exe
O4 - HKCU\..\Run: [SuperCleaner] "C:\Programmer\SuperCleaner\SuperCleaner.exe" /h/b
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: GStartup.lnk = ?

Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Genstart i fejlsikret (tryk på <F8> under opstarten), slet mapper og filer listet herunder (nogle af dem er muligvis allerede blevet slettet af Hijackthis).
-------------------
Mapper:
C:\Programmer\SuperCleaner\
-------------------
Filer:
C:\WINDOWS\avdyy.dll
C:\WINDOWS\mfccy.dll
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\javaux32.exe
C:\DOCUME~1\Carste\LOKALE~1\Temp\6.tmp
C:\DOCUME~1\Carste\LOKALE~1\Temp\8.tmp.exe
C:\DOCUME~1\Carste\LOKALE~1\Temp\9.tmp.exe
C:\winstall.exe
C:\WINDOWS\system32\crgq.exe
---------------------------------------
Kør AboutBuster - to gange.
- klik OK
- klik Start og OK for at scanne for Alternate Data Streams
- klik Yes for at tillade nedlukning af Explorer.exe
- klik Yes for at tillade nr. 2 scanning.

Luk alle vinduer, kør CWShredder, klik på Fix, den scanner nu, når den er færdigt klik på Next, klik på Exit.

Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan clean. Det kan godt tage lang tid (nogle timer), men den er også meget effektiv.
Genstart til normal tilstand, lav en ny HJT-log, som du sender herind til check.

Ja, det blev lidt senere end kl. 20.00.

Hov, skal linjen:
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\crgq.exe
ikke fixes med hijackthis, ejvindh?

Levich: Jo i princippet. Men HJT er ikke god til at fixe O23-linier. Derfor fixer jeg dem altid ved at gå ind i services.msc. Så ryger de som regel i første hug. ;-)

så kom der lidt nyt.. tog sgu sin tid og gøre de ting, det sidste program kørte 2 ½ time ..gab ,men det fandt pokkers mange ting...

Her er logfil fra Ewido:

+ Scanningsresultat:
    HKLM\SOFTWARE\Avenue Media -> Spyware.InternetOptimizer : Renset med backup
    HKLM\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} -> Spyware.MySearch : Renset med backup
    HKLM\SOFTWARE\Classes\CLSID\{014DA6CB-189F-421a-88CD-07CFE51CFF10} -> Spyware.BargainBuddy : Renset med backup
    HKLM\SOFTWARE\Classes\CLSID\{8CBA1B49-8144-4721-A7B1-64C578C9EED7} -> Spyware.SideFind : Renset med backup
    HKLM\SOFTWARE\Classes\CLSID\{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} -> Spyware.MoneyTree : Renset med backup
    HKLM\SOFTWARE\Need2Find -> Spyware.Need2Find : Renset med backup
    HKLM\SOFTWARE\Need2Find\bar -> Spyware.Need2Find : Renset med backup
    HKLM\SOFTWARE\Need2Find\bar\Partner -> Spyware.Need2Find : Renset med backup
    HKLM\SOFTWARE\Policies\Avenue Media -> Spyware.InternetOptimizer : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Avenue Media -> Spyware.InternetOptimizer : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{014DA6C1-189F-421A-88CD-07CFE51CFF10} -> Spyware.eXact : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{04079851-5845-4DEA-848C-3ECD647AA554} -> Spyware.MySearchBar : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\NavExcel Ltd -> Spyware.NavExcel : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Need2Find -> Spyware.Need2Find : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Need2Find\bar -> Spyware.Need2Find : Renset med backup
    HKU\S-1-5-21-839522115-1060284298-1343024091-1003\Software\Policies\Avenue Media -> Spyware.InternetOptimizer : Renset med backup
    :mozilla.23:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.24:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.25:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.26:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.27:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.28:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.29:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.30:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.31:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.32:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.33:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.34:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.35:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Advertising : Renset med backup
    :mozilla.40:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Doubleclick : Renset med backup
    :mozilla.42:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Adtech : Renset med backup
    :mozilla.43:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Adtech : Renset med backup
    :mozilla.59:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Mediaplex : Renset med backup
    :mozilla.62:C:\Documents and Settings\Carste\Application Data\Mozilla\Firefox\Profiles\j6oeni8y.default\cookies.txt -> Spyware.Cookie.Webtrendslive : Renset med backup
    C:\Documents and Settings\Carste\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-2cbedef0-781e49dd.class -> Not-A-Virus.Exploit.Java.ByteVerify : Renset med backup
    C:\Documents and Settings\Carste\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-4861ae92-3e699a05.class -> Not-A-Virus.Exploit.Java.ByteVerify : Renset med backup
    C:\Documents and Settings\Carste\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-17f8ddf4-6dad33bf.class -> Not-A-Virus.Exploit.Java.ByteVerify : Renset med backup
    C:\Documents and Settings\Carste\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\VerifierBug.class-2671f658-4f28272a.class -> Not-A-Virus.Exploit.Java.ByteVerify : Renset med backup
    C:\Documents and Settings\Carste\Lokale indstillinger\Temp\6.tmp -> Trojan.Small : Renset med backup
    C:\Documents and Settings\Carste\Lokale indstillinger\Temp\A.tmp -> Trojan.Small.ga : Renset med backup
    C:\ms32.tmp -> Downloader.Small.azk : Renset med backup
    C:\Program Files\SpySheriff\Uninstall.exe -> Adware.SpySheriff : Renset med backup
    C:\Programmer\Fælles filer\CMEII\CMEIIAPI.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\CMESys.exe -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GAppMgr.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GController.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GDwldEng.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GIocl.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GIoclClient.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GMTProxy.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GObjs.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GStore.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\GStoreServer.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\CMEII\Gtools.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\GMT\EGGCEngine.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\GMT\egIEEngine.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\GMT\EGIEProcess.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\GMT\EGNSEngine.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\GMT\GatorRes.dll -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\rpdtlrlh\renpttcnap\fntnbpjll.exe -> Adware.Gator : Renset med backup
    C:\Programmer\Fælles filer\rpdtlrlh\tfrprlhj\nttlbllp.exe -> Adware.Gator : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/10.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/11.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/12.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/14.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/15.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/16.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/18.scl/AltnetUninstall.exe -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/18.scl/asmend.exe -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/22.scl/mySetp.exe -> Spyware.MyWebSearch : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/23.scl/Points Manager.exe -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/24.scl/setup.cab/PMuninstall.bde -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/24.scl/sysdetect.dll -> Adware.BrilliantDigital : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/27.scl -> Spyware.Altnet : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/46.scl -> Adware.Gator : Renset med backup
    C:\Programmer\Spy Cleaner Free Version\Backup\11_03_200513_30_42.zip/53.scl -> Spyware.NewDotNet : Renset med backup
    C:\RECYCLER\S-1-5-21-839522115-1060284298-1343024091-500\Dc2.dll -> Adware.SearchPage : Renset med backup
    C:\RECYCLER\S-1-5-21-839522115-1060284298-1343024091-500\Dc7.exe -> Trojan.Small : Renset med backup
    C:\WINDOWS\Downloaded Program Files\popcaploader.dll -> Not-A-Virus.PornWare.PopCap.b : Renset med backup
    D:\Program Files\Altnet\Download Manager\asm.exe -> Spyware.Altnet : Renset med backup
    D:\Program Files\Altnet\Download Manager\asmps.dll -> Spyware.Altnet : Renset med backup


::Rapport slut

og en log fra HJT:


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmer\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\Logitech\MouseWare\system\em_exec.exe
C:\Programmer\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Carste\Dokumenter\Modtagne filer\Ny mappe\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.dk/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pc-cillin9.antivirus.com/en/90/pccreg/wcoRegister.asp?SN=PCEB%2D9995%2D7410%2D2629%2D5085&GUID=454747424746464F46404645474177&VID=TWP9002002
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programmer\Burn4Free Toolbar\v2.0.0.2\Burn4Free_Toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programmer\Burn4Free Toolbar\v2.0.0.2\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmer\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmer\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programmer\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Opret Foretrukken på mobil enhed - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Opret Foretrukken på mobil enhed... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmer\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmer\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37390.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kan dog ik lige forstå jeg skal slette C:\Programmer\SuperCleaner da det er et program som renser pc for cookies og sider der er besøgt osv.??

Ja, men den VAR også meget inficeret. Bemærk, at jeg skriver i datid. Nu er den nemlig ren :-)

Angående SuperCleaner, så må jeg indrømme, at jeg tog den lidt på rutinen, idet logs der er så snavsede ofte også indeholde utroværdige rensnings-værktøjer, og eftersom jeg ikke kendte programmet i forvejen, så røg den med i købet. Det beklager jeg. Programmet fejler ikke noget. Jeg håber du har mulighed for at geninstallere det? Hvis du ikke har det, kan vi muligvis gendanne programmet, hvis din sletning af mappen stadig ligger i papirkurven. Så bare sig til.

Fik du ellers løst dine problemer?

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
www.spywareinfo.dk/download/cleantempxp2k.bat
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Jeg vil anbefale at følgende som minimum bør være installeret: Antivirus, Spywareguard, Spywareblaster, IE-spyad og en firewall. Alle programmer kan du finde links til herfra:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

okey, det var dejligt.. men øhh jeg har stadig et problem med at ændre skrivebord til det "gamle"look før angrebet..det kan IKKE ændres,lige som det er låst fast..
deter blå baggrund med sort felt, hvor der med rød skrift står
"spyware infected"
Your system is infected with spyware.
windows recommends you to use a spyware
removal tool to prevent loss of important data
and increase system preformance.
Using this pc before having it cleaned
from spyware threats is highly discouraged.

Prøv først at køre smitrem-filen igen, og se om den fixer det.

Hvis nej, så hent denne fil, og gem den til dit skrivebord:
http://www.ejvindh.frac.dk/Deskfix_rc2.vbs

Dobbeltklik på Deskfix_rc2.vbs. Når den spørger om navnet på dit skrivebord, skal der stå: SKRIVEBORD

Genstart og check om det har virket.

Ah sorry, jeg blandede 2 forskellige tråde sammen. Du har jo slet ikke kørt smitrem-filen endnu. Her er proceduren for dette fix:

-- Hent og dobbeltklik på smitRem.exe
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Programmet pakker sig ud til mappen smitRem.

Genstart i fejlsikret (tast F8 ved opstart). Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)

Hvis dette ikke hjælper kan du prøve deskfix_rc2 som jeg nævnte ovenfor.

jo den var ret slem inficeret,men det kom oz bare hurtig...
men nu er skrivebord som det var før,måtte hente deskfix,da det andet ik hjalp..

Så jeg takker mange gange for hjælpen,hvordan i så end lige kan se hvad der skal og ik skal være der i sådan en log fil..griner

skidt pyt, den anden fil hjalp

Det var så lidt. Jeg takker for point :-)
Jeg har skrevet en artikel om, hvordan man kan gribe HJT-arbejdet an. Findes her:
http://www.eksperten.dk/artikler/642

hmm, men nede i proceslinjen er der stadig et eller andet som lige dukker op i 2sek og forsvinder igen,som om explore starter..det kommer kun frem der og har ik noget navn...hvad kan det være,har været der i 14dage ca...?? nogen som smugkigger på hvad jeg ser eller er det muligt og se hvis andre kigger med?

Lidt svært at svare på. Kommer det også når der ingen programmer kører overhovedet, eller kommer det kun når IE er åben i forvejen?

Måske skulle du prøve at køre smitrem-værktøjet alligevel. Den tager også en del ting, som ikke altid er synlige. Du må også gerne lægge loggen fra værkøjet herind. Den finder du her, når værktøjet har været kørt:
c:\smitfiles.txt

Hvis det ikke hjælper, så kunne det måske være en ide at køre Ewido igen. Den fandt jo ret mange ting første gang, og det kan være at den ikke fik det hele med i første hug.

Hvis dét heller ikke hjælper, må du lige sige til. Så har jeg et par dybdeanalyse-værktøjer, som kan tages i brug :-)

smitRem © log file
    version 2.8

    by noahdfear


Microsoft Windows XP [version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

spyaxe uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Install.dat


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

desktop.html


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1424 'explorer.exe'
Killing PID 1424 'explorer.exe'

Starting registry repairs

Deleting files


  Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! :)


Den dukker kun op når IE er åben,men smitrem fandt den måske

Ok. Du lader bare høre fra dig, hvis den kommer igen :-)