CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ole-printz Nybegynder
19. januar 2006 - 21:27 Der er 22 kommentarer og
1 løsning

Hvem er ekspert i Ewido anti-malware

Jeg har skannet med Ewido og den har fundet følgende som jeg ikke helt ved hvad er og om det skal væk.

Er der en der kan hjælpe ?
---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            16:51:20, 19-01-2006
+ Rapport-Checksum:        7F49C96E

+ Scanningsresultat:
    [848] VM_00E20000 -> Downloader.Agent.uj : Fejl under renselse
    [872] VM_00DF0000 -> Downloader.Agent.uj : Fejl under renselse
    [3264] VM_00A20000 -> Downloader.Agent.uj : Fejl under renselse
    [3376] VM_00900000 -> Downloader.Agent.uj : Fejl under renselse
    [2028] VM_003D0000 -> Downloader.Agent.uj : Fejl under renselse
    [3444] VM_003F0000 -> Downloader.Agent.uj : Fejl under renselse
    [3512] VM_00B20000 -> Downloader.Agent.uj : Fejl under renselse
    [3524] VM_003C0000 -> Downloader.Agent.uj : Fejl under renselse
    [3596] VM_009A0000 -> Downloader.Agent.uj : Fejl under renselse
    [3960] VM_00910000 -> Downloader.Agent.uj : Fejl under renselse
    [4040] VM_009A0000 -> Downloader.Agent.uj : Fejl under renselse
    [456] VM_00D50000 -> Downloader.Agent.uj : Fejl under renselse
    [664] VM_00D30000 -> Downloader.Agent.uj : Fejl under renselse
    [2552] VM_00A30000 -> Downloader.Agent.uj : Fejl under renselse
    C:\Documents and Settings\mom\Cookies\mom@adtech[2].txt -> Spyware.Cookie.Adtech : Renset med backup
    C:\Documents and Settings\mom\Cookies\mom@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Renset med backup
    C:\Documents and Settings\mom\Cookies\mom@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Renset med backup


::Rapport slut
Avatar billede fromsej Praktikant
19. januar 2006 - 21:54 #1
Følg vejledningen i denne artikel:
http://www.eksperten.dk/artikler/755

Du kan springe Ewidodelen og spybot over.
Avatar billede ole-printz Nybegynder
19. januar 2006 - 22:40 #2
Godt nok det var den artikel der fjernede problemerne med blå skærm m/m, nu køre den fint igen med de fejl mældinger på Ewido.

Så er det noget jeg skal tage alvorligt eller hvad ?
Avatar billede ejvindh Ekspert
20. januar 2006 - 08:36 #3
Fortsætter vist her:
http://www.eksperten.dk/spm/681095

Og fortsat herfra:
http://www.eksperten.dk/spm/674085

... en Wareout infektion.

ole-printz: Du får nok en bedre hjælp, hvis du holder dig til én tråd, da dine hjælpere så bedre har overblik over, hvad der allerede ER gjort :-)
Avatar billede ole-printz Nybegynder
20. januar 2006 - 12:23 #4
Det vil jeg så forsøge. men jeg blev gjort opmærksom på at mit spørsmål var anbragt forkert, jeg skulle så bare ikke have flyttet det !!!

Er der nogen der kan hjælpe mig ?

En Wareout infektion ?
Avatar billede ejvindh Ekspert
20. januar 2006 - 13:36 #5
Du skal nok bare være lidt mere tålmodig. Det fungerer sådan, at når nogen har startet en hjælp her i virus-kategorierne, skal de som regel nok følge op, når de er ved computeren. Men indtil Fromsej vender tilbage, kan du lige gøre følgende:

Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet. Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.

-. Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

-. Hent FixWareout fra et af disse links:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

-. Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i "Run fixit" - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt...

-. Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil HijackThis starte automatisk - klik på Scan, og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

R3 - URLSearchHook: (no name) - {0D5EB93A-1A68-AE7C-D271-4BEC5A52CAFA} - clamav.dll (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\popcorn320.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [cmon14] TForm1.exe
O4 - HKLM\..\Run: [SetupExeDll] MNTP.exe
O4 - HKCU\..\Run: [MsNetHelper] ParisM.exe
O4 - HKCU\..\Run: [forces_elite] AppMasterCenter.exe
O4 - HKCU\..\Run: [KeywordFinder] xwiz.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{22880780-AFB3-47DA-8E02-0DF8AA7248C0}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F57C6B6-7BC2-4B96-8DEA-354C0D1ECE58}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{87629F89-9044-406A-B50A-73C3ACD5EFC5}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS2\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170

-. Luk HJT og klik på OK for at fortsætte. Genstart din computer til fejlsikret tilstand (tryk F8 under opstarten). Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

-. Genstart til normal tilstand, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en frisk HijackThis log.
Avatar billede ole-printz Nybegynder
21. januar 2006 - 09:06 #6
Hej ejvindh

Tak skal du have, jeg har nok ikke haft tålmodighed nok :-)

Jeg er pt. på arbejde,  kigger på det Søndag aften.
Avatar billede ole-printz Nybegynder
25. januar 2006 - 16:15 #7
Det var det svar som  fixwareout kom frem til.

Det virkede ikke helt som beskrevet, der kom små tale bobler frem med tryk ok og efter en del gange så var den fertig og vidste følgende.

Fixwareout ver 1.003
Last edited 1/12/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dnamd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...
C:\WINDOWS\SYSTEM32\CSIBX.EXE
C:\WINDOWS\SYSTEM32\DMAND.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
Avatar billede fromsej Praktikant
25. januar 2006 - 18:26 #8
Så skal vi se en frisk Hijackthislog.
Avatar billede ole-printz Nybegynder
26. januar 2006 - 09:45 #9
Det skulle så være den her.

Logfile of HijackThis v1.99.1
Scan saved at 09:43:54, on 26-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\oracle\ora92\bin\omtsreco.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe
C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
C:\Programmer\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmer\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\BGINFO~1\Bginfo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Sophos\AutoUpdate\ALMon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\mom\Lokale indstillinger\Temporary Internet Files\Content.IE5\I2C4AJKG\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sdu.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.dk/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by IT-service
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {0D5EB93A-1A68-AE7C-D271-4BEC5A52CAFA} - clamav.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programmer\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BGinfo] C:\PROGRA~1\BGINFO~1\Bginfo.exe C:\PROGRA~1\BGINFO~1\SDU-BG~1.BGI /taskbar
O4 - HKLM\..\Run: [cmon14] TForm1.exe
O4 - HKLM\..\Run: [SetupExeDll] MNTP.exe
O4 - HKLM\..\Run: [dmpfz.exe] C:\WINDOWS\system32\dmpfz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsNetHelper] ParisM.exe
O4 - HKCU\..\Run: [forces_elite] AppMasterCenter.exe
O4 - HKCU\..\Run: [KeywordFinder] xwiz.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programmer\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Install Pending Files.LNK = C:\Programmer\PTPNDFLS\PTPNDFLS.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sdu.dk/
O15 - Trusted Zone: http://*.csc.dk
O15 - Trusted Zone: http://*.e-boks.dk
O15 - Trusted Zone: http://*.oes.dk
O15 - Trusted Zone: http://info.adm.sdu.dk
O15 - Trusted Zone: http://intern.sdu.dk
O15 - Trusted Zone: http://nova.adm.sdu.dk
O15 - Trusted Zone: http://*.sdu.dk
O15 - Trusted Zone: http://*.csc.dk (HKLM)
O15 - Trusted Zone: http://*.e-boks.dk (HKLM)
O15 - Trusted Zone: http://*.oes.dk (HKLM)
O15 - Trusted Zone: http://nova.adm.sdu.dk (HKLM)
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\Software\..\Telephony: DomainName = adm.c.sdu.dk
O17 - HKLM\System\CCS\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{22880780-AFB3-47DA-8E02-0DF8AA7248C0}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F57C6B6-7BC2-4B96-8DEA-354C0D1ECE58}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{87629F89-9044-406A-B50A-73C3ACD5EFC5}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS1\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS2\Services\Tcpip\..\{05BC39F5-053F-43DE-B727-E90F45D17A65}: NameServer = 85.255.116.98,85.255.112.170
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Channel Deployer - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Programmer\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programmer\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent (file missing)
O23 - Service: Sophos AutoUpdate Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe" -service -name ALC (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Unknown owner - C:\Programmer\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 (file missing)
Avatar billede ole-printz Nybegynder
26. januar 2006 - 10:03 #10
Jeg skulle jo også lige fjerne de linier du havde henvist til.

De skulle så være fjernet her.

Håber at det så virker.

Giv et svar så jeg kan give dig point

Logfile of HijackThis v1.99.1
Scan saved at 10:00:08, on 26-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\oracle\ora92\bin\omtsreco.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe
C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
C:\Programmer\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmer\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\BGINFO~1\Bginfo.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Sophos\AutoUpdate\ALMon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\mom\Lokale indstillinger\Temporary Internet Files\Content.IE5\I2C4AJKG\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sdu.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.dk/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by IT-service
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programmer\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BGinfo] C:\PROGRA~1\BGINFO~1\Bginfo.exe C:\PROGRA~1\BGINFO~1\SDU-BG~1.BGI /taskbar
O4 - HKLM\..\Run: [SetupExeDll] MNTP.exe
O4 - HKLM\..\Run: [dmpfz.exe] C:\WINDOWS\system32\dmpfz.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programmer\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Install Pending Files.LNK = C:\Programmer\PTPNDFLS\PTPNDFLS.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sdu.dk/
O15 - Trusted Zone: http://*.csc.dk
O15 - Trusted Zone: http://*.e-boks.dk
O15 - Trusted Zone: http://*.oes.dk
O15 - Trusted Zone: http://info.adm.sdu.dk
O15 - Trusted Zone: http://intern.sdu.dk
O15 - Trusted Zone: http://nova.adm.sdu.dk
O15 - Trusted Zone: http://*.sdu.dk
O15 - Trusted Zone: http://*.csc.dk (HKLM)
O15 - Trusted Zone: http://*.e-boks.dk (HKLM)
O15 - Trusted Zone: http://*.oes.dk (HKLM)
O15 - Trusted Zone: http://nova.adm.sdu.dk (HKLM)
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Channel Deployer - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Programmer\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programmer\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent (file missing)
O23 - Service: Sophos AutoUpdate Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe" -service -name ALC (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Unknown owner - C:\Programmer\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 (file missing)
Avatar billede fromsej Praktikant
26. januar 2006 - 10:29 #11
Godt, Wareout er død, filerne skifter ikke navn.
Fix følgende med hijackthis:
O4 - HKLM\..\Run: [SetupExeDll] MNTP.exe
O4 - HKLM\..\Run: [dmpfz.exe] C:\WINDOWS\system32\dmpfz.exe

Du skal have fuld filvisning slået til, det gør du således:
Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Skift søgefunktioner for filer og mapper"
Sæt prik i "Avanceret" og klik OK.
Klik på "Alle filer og mapper"
Klik på "Flere avancerede indstillinger"
Sæt flueben i de tre øverste.

Genstart i fejlsikret og slet: (Hvis de eksisterer)
C:\WINDOWS\SYSTEM32\CSIBX.EXE
C:\WINDOWS\SYSTEM32\DMAND.EXE
C:\WINDOWS\system32\dmpfz.exe
MNTP.exe << Brug Start->Søg til denne.

Genstart normalt, kom med en frisk hijackthislog.
Avatar billede ole-printz Nybegynder
26. januar 2006 - 11:21 #12
Ok det prøver jeg så :-)
Avatar billede ole-printz Nybegynder
26. januar 2006 - 11:40 #13
Jeg fik fjernet den første 
O4 - HKLM\..\Run: [SetupExeDll] MNTP.exe

Den her kunne jeg ikke finde ?
O4 - HKLM\..\Run: [dmpfz.exe] C:\WINDOWS\system32\dmpfz.exe
Avatar billede ole-printz Nybegynder
26. januar 2006 - 11:43 #14
Eller er det mig der er blind ?

Logfile of HijackThis v1.99.1
Scan saved at 11:42:46, on 26-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\oracle\ora92\bin\omtsreco.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe
C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
C:\Programmer\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\BGINFO~1\Bginfo.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Sophos\AutoUpdate\ALMon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\sotmp1.dir\ALUpdate.exe
C:\Documents and Settings\mom\Lokale indstillinger\Temporary Internet Files\Content.IE5\I2C4AJKG\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sdu.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.dk/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by IT-service
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programmer\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BGinfo] C:\PROGRA~1\BGINFO~1\Bginfo.exe C:\PROGRA~1\BGINFO~1\SDU-BG~1.BGI /taskbar
O4 - HKLM\..\Run: [dmzxr.exe] C:\WINDOWS\system32\dmzxr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programmer\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Install Pending Files.LNK = C:\Programmer\PTPNDFLS\PTPNDFLS.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sdu.dk/
O15 - Trusted Zone: http://*.csc.dk
O15 - Trusted Zone: http://*.e-boks.dk
O15 - Trusted Zone: http://*.oes.dk
O15 - Trusted Zone: http://info.adm.sdu.dk
O15 - Trusted Zone: http://intern.sdu.dk
O15 - Trusted Zone: http://nova.adm.sdu.dk
O15 - Trusted Zone: http://*.sdu.dk
O15 - Trusted Zone: http://*.csc.dk (HKLM)
O15 - Trusted Zone: http://*.e-boks.dk (HKLM)
O15 - Trusted Zone: http://*.oes.dk (HKLM)
O15 - Trusted Zone: http://nova.adm.sdu.dk (HKLM)
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Channel Deployer - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Programmer\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programmer\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent (file missing)
O23 - Service: Sophos AutoUpdate Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe" -service -name ALC (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Unknown owner - C:\Programmer\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 (file missing)
Avatar billede fromsej Praktikant
26. januar 2006 - 12:08 #15
Nej, det er du ikke, problemet er at skramlet skifter navn ved en genstart.
Den ligger her:
O4 - HKLM\..\Run: [dmzxr.exe] C:\WINDOWS\system32\dmzxr.exe

Tryk på <Ctrl><Alt><Delete> skift til fanebladet Processer, find dmzxr.exe på listen, marker den og klik på Afslut proces, klik Ja når der kommer en advarsel.
Find så filen C:\WINDOWS\system32\dmzxr.exe og slet den, kør Hijackthis og fix linien, først nu må du genstarte.
Hvis du ikke får lov til at slette filen, så lad være med at genstarte, men fortæl det, så finder vi en anden løsning.
Avatar billede ole-printz Nybegynder
26. januar 2006 - 13:21 #16
Maskinen kører fint men Ewido finder stadig 2 ---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            13:19:09, 26-01-2006
+ Rapport-Checksum:        2C2AD6C6

+ Scanningsresultat:
    [2312] VM_01780000 -> Trojan.Pakes : Fejl under renselse
    [1268] VM_01830000 -> Trojan.Pakes : Fejl under renselse


::Rapport slut

Her er start op fra ewido-maleware`analyse er der noget der måske skal fjernes.

---------------------------------------------------------
ewido anti-malware - Startop rapport
---------------------------------------------------------

+ Oprettet den:            13:14:30, 26-01-2006
+ Rapport-Checksum:        A2FDE496

Reg\HKLM\Run        HotKeysCmds                              C:\WINDOWS\system32\hkcmd.exe                                                                     
Reg\HKLM\Run        IgfxTray                                C:\WINDOWS\system32\igfxtray.exe                                                                   
Reg\HKLM\Run        AGRSMMSG                                AGRSMMSG.exe                                                                                       
Reg\HKLM\Run        Prism Deploy Client                      "C:\Programmer\Prism Deploy\Client\PTClient.exe" /Subscriber                                       
Reg\HKLM\Run        Persistence                              C:\WINDOWS\system32\igfxpers.exe                                                                   
Reg\HKLM\Run        BGinfo                                  C:\PROGRA~1\BGINFO~1\Bginfo.exe C:\PROGRA~1\BGINFO~1\SDU-BG~1.BGI /taskbar                         
Reg\HKLM\Run        dmzxr.exe                                C:\WINDOWS\system32\dmzxr.exe                                                                     
Reg\HKLM\RunOnceEx  bfurunonceex                            ||C:\fixwareout\SUB\BFU.exe C:\fixwareout\SUB\XP-2K2.bfu                                           
Reg\HKCU\Run        CTFMON.EXE                              C:\WINDOWS\system32\ctfmon.exe                                                                     
Shell\CommonStartup  AutoUpdate Monitor.lnk                  C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\AutoUpdate Monitor.lnk           
Shell\CommonStartup  Cisco Systems VPN Client.lnk            C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\Cisco Systems VPN Client.lnk     
Shell\CommonStartup  Install Pending Files.LNK                C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\Install Pending Files.LNK
Avatar billede fromsej Praktikant
26. januar 2006 - 14:13 #17
Det eneste kritiske er denne:
dmzxr.exe
Du bliver nok nødt til at fjerne den manuelt med Regedit, der ligger en vejledning her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441
Avatar billede ole-printz Nybegynder
26. januar 2006 - 14:46 #18
Det har jeg så forsøgt at lave. jeg blev spurgt om at dmzxr.exe skulle erstattes!!! det skrev jeg så ja til.

Her er forhåbentligt den sidste Hijackthislog. :-)

Hvis det er sandt så giv mig et svar så du kan få de point jeg har lovet, det burde have været meget mere.

Logfile of HijackThis v1.99.1
Scan saved at 14:44:42, on 26-01-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Programmer\ewido anti-malware\ewidoctrl.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\oracle\ora92\bin\omtsreco.exe
C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe
C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
C:\Programmer\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\BGINFO~1\Bginfo.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Sophos\AutoUpdate\ALMon.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\mom\Lokale indstillinger\Temporary Internet Files\Content.IE5\KPQZ41Y7\hijackthis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sdu.dk/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.dk/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by IT-service
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programmer\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programmer\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BGinfo] C:\PROGRA~1\BGINFO~1\Bginfo.exe C:\PROGRA~1\BGINFO~1\SDU-BG~1.BGI /taskbar
O4 - HKLM\..\Run: [dmzxr.exe] C:\WINDOWS\system32\dmzxr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programmer\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programmer\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Install Pending Files.LNK = C:\Programmer\PTPNDFLS\PTPNDFLS.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.sdu.dk/
O15 - Trusted Zone: http://*.csc.dk
O15 - Trusted Zone: http://*.e-boks.dk
O15 - Trusted Zone: http://*.oes.dk
O15 - Trusted Zone: http://info.adm.sdu.dk
O15 - Trusted Zone: http://intern.sdu.dk
O15 - Trusted Zone: http://nova.adm.sdu.dk
O15 - Trusted Zone: http://*.sdu.dk
O15 - Trusted Zone: http://*.csc.dk (HKLM)
O15 - Trusted Zone: http://*.e-boks.dk (HKLM)
O15 - Trusted Zone: http://*.oes.dk (HKLM)
O15 - Trusted Zone: http://nova.adm.sdu.dk (HKLM)
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\Software\..\Telephony: DomainName = adm.c.sdu.dk
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = adm.c.sdu.dk
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Channel Deployer - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\ChannelDeploy.sys
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programmer\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido anti-malware\ewidoctrl.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\Programmer\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Programmer\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Programmer\Fælles filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programmer\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent (file missing)
O23 - Service: Sophos AutoUpdate Agent - Unknown owner - C:\Programmer\Sophos\Remote Management System\AutoUpdateAgentNT.exe" -service -name ALC (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programmer\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Unknown owner - C:\Programmer\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 (file missing)
Avatar billede fromsej Praktikant
26. januar 2006 - 16:37 #19
Linien er der stadigvæk:
O4 - HKLM\..\Run: [dmzxr.exe] C:\WINDOWS\system32\dmzxr.exe
Prøv at fixe den, genstarte og tjek om der er kommet en der ligner, eller den samme igen.
Kendetegnene er [dmzxr.exe] og dmzxr.exe er ens.
Avatar billede ole-printz Nybegynder
27. januar 2006 - 18:38 #20
Tak nu kører den ok.
Avatar billede fromsej Praktikant
27. januar 2006 - 19:59 #21
Det lyder godt.*S*

Du bør lige deaktivere systemgendannelse, genstarte og genaktivere samt sætte filvisning til normal.
http://spywarefri.dk/virusscannere.htm#alle - Systemgendannelse.
Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis.
Sæt flueben ved "Skjul beskyttede operativsystemfiler".
Sæt flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis ikke skjulte filer og mapper".

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.
Avatar billede ole-printz Nybegynder
29. januar 2006 - 11:12 #22
Hej fromsej

Det har jeg så også gjort, nu kører maskinen som da vi fik den.

jeg har instaleret nogle af de værktøjer som du har anbefalet.

Tak igen.

Nu er denne tråd som i kalder det slut. :-)
Avatar billede fromsej Praktikant
29. januar 2006 - 11:14 #23
Velbekomme, tak for point.*S*
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:04 Sæt Overskrift / Caption ved hjælp af vba kode Af per2edb i Excel
14/0713:10 ip adresser forskellig i ipconfig og myip.com Af Uvanga i LAN/WAN
14/0713:04 Windows Telefonlink Af barth i Andet software
13/0718:58 Kvindelige rolleindehavere i EX-Wife Af Ikke-ekspert i Fri debat
12/0722:10 Computer til videoredigering og casual gaming Af Kean BS i PC
White papers
Flere white papers »


Premium
Teaser billede
Lifa-direktør gennemgik "den mest hektiske periode i mit liv" efter hackerangreb: Nu åbner CEO'en op om forløbet
Læs mere »
Hvad sker der egentlig med vores data, når vi dør? Det lever stille videre - her er, hvad du selv kan gøre
Ny teknologi giver ofte dårlige resultater i kundeservice-afdelinger: Her er tre punkter, din virksomhed skal huske
AWS med forudsigelse: Sådan vil AI påvirke udvikleres arbejde i fremtiden
Se alle »
Computerworld
Teaser billede
Verdens største it-distributør ramt af ransomware: VPN mistænkt som indgang
Læs mere »
Elon Musks nye AI-model Grok 4 er hundedyr – men den fejer alle konkurrentere af banen i ny analyse
Danske husstande med YouSee-routere angribes to gange om dagen: Så enkelt sikrer du din egen
Onsdag hyldede Elon Musks chatbot Hitler - samtidig valgte selskabets topchef at trække sig
Se alle »
CIO
Teaser billede
Medarbejderflugt? Disse danske it-selskaber har sværest ved at holde på deres it-folk
Læs mere »
Vinderne er fundet: Disse to it-leverandører skal levere Microsoft-løsninger for milliarder til den danske stat
Kæmpe it-distributør er tilbage i drift efter ransomware-angreb: "Har arbejdet døgnet rundt"
Tog et opgør med standard-it og ikke-supporteret udstyr: Nu udvikler stor dansk investeringsfond selv
Se alle »
Job & Karriere
Teaser billede
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Læs mere »
Itm8 fyrer: Opsiger ansatte og reorganiserer
Fagforbund slår alarm over Netcompany: "Man risikerer at knække halsen på deres arbejdsmiljø"
Larry Ellison er blevet 165 milliarder kroner rigere på få timer: Er nu pludselig verdens næstrigeste mand
Se alle »
White paper
Teaser billede
IT i front: Sådan bliver netværk en strategisk driver
Læs mere »
Cybersikkerhed 2025: Er din branche blandt de mest udsatte?
Sådan automatiserer du vagtplanlægningen med AI
Undgå at printeren bliver svageste led i sikkerheden
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »