troj/agent-pq virus vil ikke fjernes

Kører XP-home SP2, med sophos update hver dag - så jeg undrer mig lidt over hvordan den er kommet??.

Download hijackthis herfra og gem det i en folder for sig selv på dit skrivebord

http://www.downloadportal.dk/viewinfo.asp?rid=1658
Eller
http://www.arlet.dk/hjt.exe

Start programmet og vælge, at udføre en scan samt gemme en log fil.
Når hijackthis er færdig med, at scanne vil den bede dig om en placering hvor du vil gemme "hijackthis" en tekst fil.
Gem den i samme folder som hijackthis. Når du har sagt okay hopper der et nyt vindue frem nemlig notepad med en masse tekst linjer. Marker alle linjerne og kopir dem herind så jeg kan kigge på dem. Du må ikke selv begynde, at fikse noget i hijackthis.

Ok det gør jeg mandag tak

Logfile of HijackThis v1.99.1
Scan saved at 09:13:41, on 16-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\srshost.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Sophos\Remote Update\imonitor.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\Sophos\Remote Update\cachemgr.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Louise Turner\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmer\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programmer\Invitrogen\Vector NTI Advance 9\Ncbi.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmer\Sophos\Remote Update\cachemgr.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

Download og gem denne scanner på skrivebordet. (Vi skal bruge den senere)
http://www.spywareinfo.dk/download/mwav.exe

Download Ewido (Installer og opdater programmet, men vent med et scanne til jeg siger til!)
http://shop.element5.com/product.html?productid=531168

Genstart i Fejlsikret tilstand ved at taste F8 under opstart.

Lav en fuld scan med Ewido nu!

Kør HijackThis, scan og sæt et flueben ud for disse linjer - luk øvrige programvinduer. Dobbelt tjeck alt kom med!. Klik herefter "Fix checked" i hijackthis:

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll

----------------------------------------------------------------------------------------------------

Højreklik på windows start knappen (helt nede i venstre hjørne af din skærm) og vælge "Stifinder", klik på Funktioner->Mappeindstillinger->Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find og slet (Kig godt efter!!.. Det du ikke finder har hijackthis muligvis selv kunne slette!)

Filerne

C:\WINDOWS\system32\srshost.exe
C:\WINDOWS\system32\service.dll

Gå herefter i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

Klik på mwav.exe som du hentede, programmet pakker sig selv ud og starter.
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Genstart normalt og kopir en ny hijackthis log herind så jeg kan se om vi fik fjernet det hele eller om noget skulle være blevet overset:)

Hej. Jeg gjorde præcis som du sagde, og det gik fint indtil jeg skulle slette filen serice.dll manuelt, her fik jeg at vide at filen var i brug og ikke kunne slettes (og jeg var i fejlsikret. Jeg kørte derefter mwav som fandt filen + en del andre og beskeden lød at programmet slettede dem. Men ved genstart af computer er de der stadig som du nok kan se:
Logfile of HijackThis v1.99.1
Scan saved at 10:53:18, on 16-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Sophos\Remote Update\imonitor.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\Sophos\Remote Update\cachemgr.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Documents and Settings\Louise Turner\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmer\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programmer\Invitrogen\Vector NTI Advance 9\Ncbi.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmer\Sophos\Remote Update\cachemgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

slet filen med dette program.. dr delete
http://www.docsdownloads.com/Tier1/dr-delete.htm

fiks disse i fejlsikret.. med hjt

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll

genstart normal og ny log:)

Det har jeg så prøvet nu, men den er der igen ved opstart. Dr. Delete skrev at filen ville blive slettet ved genstart, men det skete tilsyneladende ikke! Kan det være fordi sophos går ind og beskytter filen fra at blive slettet. Jeg har nemlig en konstant besked on at sophos har detekteret en virus i service.dll og at access to file denied???

hmm.. prøv lige med killbox

Hent KillBox her:
http://download.broadbandmedic.com/ el. her hvis første link ikke virker:
http://www.spywareinfo.dk/download/KillBox.zip

vælge delete on reboot.. så burde den være hurtigere en sophos.. men hvis ikke det virker så ser jeg lige på hvad vi ellers kan gøre.

det hjalp desværre heller ikke,den er der stadig :-(

Klik start | kør, skriv notepad og tryk enter.
Kopier linierne under den stiplede linie over i notesblok og gem filen på skrivebordet med navnet slet.bat og filtypen "alle filer"

Genstart i fejlsikret tilstand og dobbeltklik slet.bat.

Fiks disse i hijackthis

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll

Genstart i normal tilstand og kom med en ny HiJackThis log, samt indholdet af "c:\slet.log", som batch-filen lavede.

----------------
dir "C:\WINDOWS\SYSTEM32\service.dll" > c:\slet.log
attrib -h -s -r "C:\WINDOWS\SYSTEM32\service.dll" >> c:\slet.log
dir "C:\WINDOWS\SYSTEM32\service.dll" >> c:\slet.log
del /f "C:\WINDOWS\SYSTEM32\service.dll" >> c:\slet.log
dir "C:\WINDOWS\SYSTEM32\service.dll" >> c:\slet.log
echo finished
----------------

Den er der stadig. Her er slet log:
Disken i drev C er 428907
Diskens serienummer er 70B7-A037

Indhold af C:\WINDOWS\SYSTEM32

04-01-2006  18:11          679.956 service.dll
              1 fil(er)          679.956 byte
              0 mappe(r)  71.015.903.232 byte ledig
Disken i drev C er 428907
Diskens serienummer er 70B7-A037

Indhold af C:\WINDOWS\SYSTEM32

04-01-2006  18:11          679.956 service.dll
              1 fil(er)          679.956 byte
              0 mappe(r)  71.015.903.232 byte ledig
C:\WINDOWS\SYSTEM32\service.dll
Disken i drev C er 428907
Diskens serienummer er 70B7-A037

Indhold af C:\WINDOWS\SYSTEM32

04-01-2006  18:11          679.956 service.dll
              1 fil(er)          679.956 byte
              0 mappe(r)  71.015.903.232 byte ledig

kan det være fordi jeg ikke har slået "system restore" fra??

heh:) var jeg i gang med at skrive at du skulle prøve, men det er ikke sikkert det er nok, men prøv lige.. leder efter noget imens

Det her er jeg slet ikke sikker på vil hjælpe.. men forsøg dig med det og virker det ikke så prøver jeg at hive en anden ind som evt. kan have gode forslag til hvordan vi sletter den fil.

Hent L2mfix.exe herfra

http://www.atribune.org/downloads/l2mfix.exe

eller fra denne destination

http://www.downloads.subratam.org/l2mfix.exe

Gem filen på dit Skrivebord og dobbeltklik på l2mfix.exe. Klik på Install knappen og følge vejledningen på skærmen. Luk øvrige programmer du kunne have kørende. Der er blevet oprettet en ny mappe "l2mfix" i denne mappe skal du dobbelklikke på filen l2mfix.bat. Vælge valgmulighed 2 "Run Fix". Tast noget tilfældigt efterfølgende for, at genstarte. Når din pc har genstartet vil windows se lidt mystisk ud, men lad endelig være med, at pille ved noget.. når l2mfix er færdig vil notepad åbne og deri vil der være skrevet en log. Gem loggen for den skal jeg se på.
Jeg vil desuden ikke anbefale, at du piller ved andre filer i l2mfix mappen.

Det er ikke L2M, det er Vundo

En søgning på {F85E86D8-F796-4C97-AAA2-26664A98A42C}
Giver dette hit:
http://www.castlecops.com/tk27396-random_file_name.html
De andre tegn er der også, samme filnavn i 02 og i 020 linien, her er det service.dll

har nu slået system restore fra, og kørt flere af de delete værktøjer, men det hjalp ikke! Forstår ikke fromsejs kommentar?

Overvejer snart en format c: da jeg (og jer!) nu har brugt det meste af en dag :-(

Jeg fortæller hvad infektionen hedder, det er en trojaner der er kendt som Vundo.

Rolig, der er en løsning, den kommer om et øjeblik.*S*

Hent VirtumundoBeGone, gem det på skrivebordet.
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Luk alle kørende programmer, også Internetvinduer, dobbeltklik på VirtumundoBeGone.exe på skrivebordet, læs intro-informationen, klik så på Continue, klik på Start.
Når den spørger om du vil fortsætte, klik på Yes for at køre fixet.
Klik så på Save log.

Det sker sommetider at fixet afslutter med "BSOD"(blå skærm og frosset PC) så skal du bare genstarte på Resetknappen.

Der kommer en tekstfil på dit skrivebord der hedder VBG.TXT åbn den og kopier teksten herind, sammen med en frisk Hijackthislog.

ah ok, nu forstår jeg, Kalp forslog at det er l2m du siger det er Vundo

[01/16/2006, 13:35:49] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Louise Turner\Skrivebord\VirtumundoBeGone.exe" )
[01/16/2006, 13:35:53] - Detected System Information:
[01/16/2006, 13:35:53] -  Windows Version: 5.1.2600, Service Pack 2
[01/16/2006, 13:35:53] -  Current Username: Louise Turner (Admin)
[01/16/2006, 13:35:53] -  Windows is in NORMAL mode.
[01/16/2006, 13:35:53] - Searching for Browser Helper Objects:
[01/16/2006, 13:35:53] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/16/2006, 13:35:53] -  BHO 2: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/16/2006, 13:35:53] -  BHO 3: {F85E86D8-F796-4C97-AAA2-26664A98A42C} (CIEPl Object)
[01/16/2006, 13:35:53] - Finished Searching Browser Helper Objects
[01/16/2006, 13:35:53] - Finishing up...
[01/16/2006, 13:35:53] - Nothing found! Exiting...

Ja, præcis.
Den er ikke så kendt, men vi har set den tit i den senere tid, kør du min løsning, så forsvinder den(burde den)

Logfile of HijackThis v1.99.1
Scan saved at 13:37:24, on 16-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Sophos\Remote Update\imonitor.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\Sophos\Remote Update\cachemgr.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programmer\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Louise Turner\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmer\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programmer\Invitrogen\Vector NTI Advance 9\Ncbi.dll
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmer\Sophos\Remote Update\cachemgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

Hmm, prøv lige værktøjet igen, den log burde være meget længere.
Ellers må vi have fat i de gamle fix.

kørt den to gange, men samme log!
[01/16/2006, 13:35:49] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Louise Turner\Skrivebord\VirtumundoBeGone.exe" )
[01/16/2006, 13:35:53] - Detected System Information:
[01/16/2006, 13:35:53] -  Windows Version: 5.1.2600, Service Pack 2
[01/16/2006, 13:35:53] -  Current Username: Louise Turner (Admin)
[01/16/2006, 13:35:53] -  Windows is in NORMAL mode.
[01/16/2006, 13:35:53] - Searching for Browser Helper Objects:
[01/16/2006, 13:35:53] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/16/2006, 13:35:53] -  BHO 2: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/16/2006, 13:35:53] -  BHO 3: {F85E86D8-F796-4C97-AAA2-26664A98A42C} (CIEPl Object)
[01/16/2006, 13:35:53] - Finished Searching Browser Helper Objects
[01/16/2006, 13:35:53] - Finishing up...
[01/16/2006, 13:35:53] - Nothing found! Exiting...

[01/16/2006, 13:38:23] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Louise Turner\Skrivebord\VirtumundoBeGone.exe" )
[01/16/2006, 13:38:26] - Detected System Information:
[01/16/2006, 13:38:26] -  Windows Version: 5.1.2600, Service Pack 2
[01/16/2006, 13:38:26] -  Current Username: Louise Turner (Admin)
[01/16/2006, 13:38:26] -  Windows is in NORMAL mode.
[01/16/2006, 13:38:26] - Searching for Browser Helper Objects:
[01/16/2006, 13:38:26] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/16/2006, 13:38:26] -  BHO 2: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/16/2006, 13:38:26] -  BHO 3: {F85E86D8-F796-4C97-AAA2-26664A98A42C} (CIEPl Object)
[01/16/2006, 13:38:26] - Finished Searching Browser Helper Objects
[01/16/2006, 13:38:26] - Finishing up...
[01/16/2006, 13:38:26] - Nothing found! Exiting...

hvis denne

http://securityresponse.symantec.com/avcenter/venc/data/trojan.vundo.removal.tool.html

ikke fungere så forstår jeg slet ikke de sætte den til rådighed :)

Det kan også være den gør, men den er ældgammel(25/11 2005)

Lad os se en frisk Hijackthislog, denne gang kom der mere i vundologgen.

Jeg har foreslået det før, men nu mangler vi igen et underforum herinde, hvor vi kunne diskutere løsninger, uden at opretter behøver at læse det hele, men kan vente på et gennemarbejdet løsningsforslag.

fromsej >>

Det har du helt ret i:) Jeg kan måske godt prøve, at kigge på en evt. løsning og så er det op til Jer andre, at vurdere om det kan bruges:)

Glimrende idé.*S*

Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It has been suspended.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 36534
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

Det ser fornuftigt ud, lad os så se en frisk Hijackthislog.

Det er stadig det samme, og jeg har stadig sophos der siger at det er Agent-PQ

Under dette fix vil din computer skulle genstarte, så luk alle programmer og gem det arbejde du eventuelt har lavet som ikke er gemt endnu.

1. Hent VundoFix.exe her:

http://www.atribune.org/downloads/VundoFix.exe
Dobbeltklik på VundoFix.exe - dette vil pakke programmet ud til en mappe med navnet VundoFix på dit Skrivebord.

2. Print denne vejledning ud, eller kopier den til Notesblok, så du ikke behøver at have Internet Explorer åben for at læse dem. Luk herefter Internet Explorer.

3. Genstart i Fejlsikret tilstand (ved at taste F8 under opstart).

4. Find mappen VundoFix, som du lige pakkede fixet ud til - åben mappen og dobbeltklik på KillVundo.bat. Du vil først se en kort advarsel - tast Enter. Du vil nu skulle skrive en filsti ind... Skriv

C:\WINDOWS\system32\service.dll

Tast Enter

Du skal nu taste endnu et filnavn ind... Skriv

C:\WINDOWS\system32\ecivres.*

Tast Enter.

Når programmet er færdigt, vil HijackThis åbne sig. Klik nu på "Scan" (i programmet HijackThis) og sæt herefter et flueben ud for følgende linier:

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll
O20 - Winlogon Notify: service - C:\WINDOWS\SYSTEM32\service.dll


Klik på "Fix checked" (i programmet HijackThis).

5. Når du klikker på "Fix checked", så fixer HijackThis linierne, og din computer vil nu genstarte efter at du har tastet en tast (du får en blå skærm). Hvis den ikke gør det automatisk, så genstart den selv.

6. Efter genstart skal du køre en scanning her:

http://www.pandasoftware.com/products/activescan.htm

7. Læg en frisk HijackThis log herind sammen med den log VundoFix laver (åben vundofix.txt som ligger i samme mappe som VundoFix.bat - kopier indholdet herind) samt en kopi af log'en fra Panda-scanningen.

har prøvet at køre trojanhunter, og den fandt kun en trojan, men så vidt jeg kan se fra andre fora er det blot en falsk alarm, så jeg har IKKE fjernet den? (http://forum.misec.net/board/Deutsch;action=print;num=1081106210)

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan
Found trojan file: C:\Programmer\CyberLink\PowerDVD\hodll.dll (KLog.SvcLog)
1 trojan files found

Det er ikke at vi ikke vil hjælpe, og det er også i orden at du prøver selv.
Men det gør det altså nemmere for alle at du følger vores vejledninger, eller prøver helt selv, det andet er noget rod. ;-)

Logfile of HijackThis v1.99.1
Scan saved at 14:50:51, on 16-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
C:\Programmer\Sophos\Remote Update\imonitor.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\Sophos\Remote Update\cachemgr.exe
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Louise Turner\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Genvej til egenskabsside for High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 4.2\THGuard.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programmer\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programmer\Sophos\Remote Update\imonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmer\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CCF205E-0BC6-4A12-A9DC-BF055A4C3734}: NameServer = 130.225.127.34
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programmer\Invitrogen\Vector NTI Advance 9\Ncbi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programmer\Sophos\Remote Update\cachemgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: SmartLinkService (SLService) -  - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programmer\Sophos SWEEP for NT\SWEEPSRV.SYS

jeg tror søreme den er væk nu! Det var også en hård fødsel. Point deler i så læg et svar fromsej

og 1000 tak for hjælpen

Det ser unægteligt sådan ud, det var også en hård kamp.
En del af problemet er at skidtet udvikler sig hele tiden, vi andre halser så bagefter med løsningerne.

Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.

Tak for point.*S*