Hjælp til mange pop-up vinduer

ser på det

1. Deaktivering af systemgendannelse.

Højreklik på "Denne Computer" - Vælg "Egenskaber".
Klik på fanen "Systemgendannelse".
Sæt tjekmærke ud for "Deaktiver Systemgendannelse på alle drev" - Klik på"OK".

2. Download følgende værktøjer/programmer.

A-squared Free
www.emsisoft.com/en/software/free

Look2Me-Destroyer
http://www.atribune.org/ccount/click.php?id=7

Ewido - når du har hentet ewido skal du lige køre "Opdater" så programmet opdatere sig selv. Det står med stort når du har startet Ewido i venstre side:)
http://shop.element5.com/product.html?productid=531168

Du kan evt. oprette en folder til opbevaring af disse programmer på dit skrivebord så du har dem samlet. Vent med, at køre programmerne til jeg siger til.

3. Genstart i fejlsikret tilstand.

Det gør du ved, at trykker F8 under opstart. Typisk lige efter, at dine ram er blevet talt op. Det skader ikke hvis du trykker F8 gentagende gange. Der vil

fremkomme en menu og du vælger "fejlsikret tilstand uden netværk".

4. Scanning med Ewido og A-squared free og kørsel af look2me destroyer

Luk alle programmer og helt ned så du kun kan se dit skrivebord.

Dobbeltklik på Look2Me-Destroyer og sæt et flueben i >>Run this program as a task<<. Du klik okay til meddelelsen om, at Look2Me vil lukke og åbne af sig

selv efter 10 sekunder.

Når du kan se Look2Me igen skal du klikke på >>Scan for L2M<<.
Hvis du har ikoner på dit skrivebord vil disse midlertidigt forsvinde.

Tryk nu på >>Remove L2M<< og tryk okay når du får meddelelsen >>Done scanning<<

Når programmet er færdigt vil den genstarte din computer og det lader du den gøre.

Når du er tilbage i windows igen skal du køre de 2 scannere.

Start Ewido. I venstre side i menu'en vælger du scanner og her vælger du "Komplet systemscanning". Gem loggen fra Ewido når den er færdig med, at scanne.

Lav også en fuld scan med A-squared free!

5. Slå visning af skjulte filer og mapper til

Højreklik på windows start knappen (helt nede i venstre hjørne af din skærm) og vælge "Stifinder", klik på Funktioner->Mappeindstillinger->Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".


6. Start hijackthis og vælge "Do a system scan only"

7. Sæt flueben udfor følgende linjer i hijackthis. Dobbeltjek alt kommer med!

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O3 - Toolbar: (no name) - {92E1B3F7-0546-421E-9835-904D25B7BA66} - (no file)
O4 - HKCU\..\Run: [Shell] "C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - HKCU\..\Run: [shellbn] C:\WINDOWS\system32\shellbn.exe 
O4 - HKCU\..\Run: [WinMedia] "C:\DOCUME~1\LARSB~1.SBY\LOKALE~1\Temp\5.tmp3584.exe "
O16 - DPF: {47329354-A987-48DA-AB6B-B060E2F22E47} (Canon.PrintControl) - http://www.canon.it/nikon/minolta/canon.ocx
O16 - DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} (CamImage Class) - http://192.168.1.100/Comm/IPCamControl.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp09.photoprintit.de/microsite/10021/defaults/activex/ImageUploader3.cab
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\lv8209loe.dll
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll


8. Luk øvrige programmer og vinduer så kun hijackthis er kørende og tryk så på "Fix checked".

9. Fjernelse af filer

Filerne her skal du slette.

C:\WINDOWS\SYSTEM32\winm32.dll
C:\WINDOWS\system32\shellbn.exe 
C:\WINDOWS\SYSTEM32\senssrv.dll
C:\Programmer\Fælles filer\Microsoft Shared\Web Folders\ibm00003.exe
C:\WINDOWS\system32\lv8209loe.dll

Har du problemer med en fil der ikke vil slettes så må du starte normalt op og hente dette værktøj
http://www.spywareinfo.dk/download/KillBox.zip
Det burde kunne slette filen(erne). Om ikke andet hvis dette bliver nødvendigt så vent med det til sidst.

10. Oprydning

Gå i Start -> Programmer -> Tilbehør -> Systemværktøjer -> Diskoprydning og slet temp-filer, temporary internet files og papirkurv.

11. Genstart normalt og kopir en ny hijackthis log herind så jeg kan se om vi fik fjernet det hele eller om vi skal foretage os yderligere. Kopir også loggen fra Look2me destroyer herind.. du finder den her C:\Look2Me-Destroyer.txt

12. Slå systemgendannelse til igen!

Har ikke givet op, men må fortsætte i morgen...

Ind til nu - tak...

helt i orden: )

så fik jeg endelig udført det anviste.

Jeg døjer stadig med pop-up vinduer, og Ewido finder stadigvæk "noget" nu og da...

Her er div. log´s :

Logfile of HijackThis v1.99.1
Scan saved at 13:46:26, on 31-03-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Documents and Settings\Lars B. Søby\Skrivebord\hjt.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Creative Detector] C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\s0pu0a79ed.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            12:26:46, 31-03-2006
+ Rapport-Checksum:        4BE01A80

+ Scanningsresultat:
    [1576] C:\WINDOWS\system32\SJtrmKO.dll -> Adware.Look2Me : Fejl under renselse
    C:\Documents and Settings\Lars B. Søby\Lokale indstillinger\Temp\1C.tmp -> Backdoor.Haxdoor.gb : Renset med backup
    C:\Documents and Settings\Lars B. Søby\Lokale indstillinger\Temp\6.tmp -> Backdoor.Haxdoor.gb : Renset med backup
    C:\Documents and Settings\Lars B. Søby\Lokale indstillinger\Temporary Internet Files\Content.IE5\4D2JW9YB\1040[1].exe -> Backdoor.Haxdoor.gb : Renset med backup
    C:\Documents and Settings\Lars B. Søby\Lokale indstillinger\Temporary Internet Files\Content.IE5\4D2JW9YB\tt[1].exe -> Backdoor.Small.ko : Renset med backup
    C:\Documents and Settings\Lars B. Søby\Lokale indstillinger\Temporary Internet Files\Content.IE5\YX2DKT2X\dhpbnifamx[1].txt -> Downloader.Adload.ai : Renset med backup
    C:\WINDOWS\system32\enpsl1771.dll -> Adware.Look2Me : Renset med backup
    C:\WINDOWS\system32\guard.tmp -> Adware.Look2Me : Renset med backup
    C:\WINDOWS\system32\__delete_on_reboot__SJtrmKO.dll -> Adware.Look2Me : Renset med backup
    C:\WINDOWS\Temp\CD4A.tmp -> Backdoor.Small.ko : Renset med backup
    C:\WINDOWS\Temp\Cookies\lars b. søby@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Renset med backup
    C:\WINDOWS\Temp\Cookies\lars b. søby@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Renset med backup
    C:\WINDOWS\Temp\Cookies\lars b. søby@statcounter[1].txt -> TrackingCookie.Statcounter : Renset med backup
    C:\WINDOWS\Temp\Cookies\lars b. søby@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Renset med backup
    C:\WINDOWS\Temp\Cookies\lars b. søby@yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Renset med backup
    C:\WINDOWS\toolbar.exe -> Downloader.Adload.ai : Renset med backup


::Rapport slut

a-squared Report
Scan started: 31-03-2006 12:28:16
Scan finished: 31-03-2006 12:51:24
Scan duration: 0h 23min 7sec
Scanned files: 82900
Infected files: 2

Object Diagnosis
Value: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager --> PendingFileRenameOperations Trace.Registry.AlfaCleaner
Value: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs --> url1 Trace.Registry.FreeAccess Toolbar
a-squared Report
Scan started: 31-03-2006 12:28:16
Scan finished: 31-03-2006 12:51:24
Scan duration: 0h 23min 7sec
Scanned files: 82900
Infected files: 2



No Malware objects found 
 
Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 31-03-2006 11:47:04

Infected! C:\WINDOWS\system32\lvrs0997e.dll
Infected! C:\WINDOWS\system32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\lvrs0997e.dll
C:\WINDOWS\system32\lvrs0997e.dll could not be deleted!

Attempting to delete: C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\guard.tmp could not be deleted!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F5395751-F746-4E06-A709-F3ECC8EC80B4}"
HKCR\Clsid\{F5395751-F746-4E06-A709-F3ECC8EC80B4}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{66EB285C-326A-4383-9A5A-C9E8A94F0E7B}"
HKCR\Clsid\{66EB285C-326A-4383-9A5A-C9E8A94F0E7B}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratorer - Succeeded

Hent dette værktøj

http://users.telenet.be/marcvn/tools/haxfix.exe

Du skal stadig have look2me destroyer klar. Det værktøj du kørte tidligere

Genstart i fejlsikret tilstand.

kør haxfix.exe

når den er kørt så kører du look2me destroyer præcis som sidst!

herefter starter du hijackthis op

sæt flueben ved disse linjer

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\s0pu0a79ed.dll O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll

og fix dem..

slet disse filer

C:\WINDOWS\SYSTEM32\winm32.dll
C:\WINDOWS\system32\s0pu0a79ed.dll

tag en ny scanning med ewido

genstart normalt og send mig en ny log fra hijackthis

Hej igen,

Har problemer når jeg når til Look2Me-Destroyer. Programmet åbner, og når jeg sætter et flueben i >>Run this program as a task<<, kommer følgnede besked:

"Look2Me-Dstroyer das detected that the Task Scheduler service is not running and will start it now". Dette trykker jeg OK til,

Der efter returneres: ""Look2Me-Destroyer will now close and will reopen in aprox. 1 minute. When look2Me destroyer restarts click the scan button to continue". Dette trykker jeg OK til.

Herefter sker der ikke noget som helst. Har prøvet et par gange nu, og ventet i ca. 10-15 min. uden at der sker noget...

What to do?

ingen fejlmeddelelse?

hent MSWINSCK.OCX herfra

http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

og placere den i mappen C:\Windows\System32 Directory.

hjælper det?

Desværre ikke. Har placeret filen i ..\system32    Der var ikke noget der hed directory.

Der sker det lige præcis det samme som ovenfor...

som du kan se er jeg ikke helt tilstede så meget pt... hvilket jeg beklager.
Men sender lige en anden herind, som kan køre dig igennem den sidste del er denne rensning:)

om ikke andet må du gerne scanne dit system med spyware sweeper herfra
http://www.snapfiles.com/download/dlspysweeper.html

da det vil fjerne en del af den infektion du har. Scan i fejlsikret tilstand.

Kalp har bedt mig om at tage over her. For at se, hvor langt I er kommet, vil jeg gerne se 2 logs fra dig (vent i første omgang med Spysweeper):

Kør fix.bat fra haxfix værktøjet.

Et rødt dos-vindue vil åbne, med følgende muligheder:
1. Make logfile
2. Run auto fix
3. Run manual fix
E. Exit Haxfix

Vælg punkt 1, og tryk Enter. Haxfix vil nu scanne compuyteren. Når den er færdig, vil logfilen åbne. Kopiér indholdet af denne fil herind i tråden (c:\haxfix.txt)

Derudover må du også gerne lægge en frisk log fra Hijackthis.

Hej Ejvindh!

Så kom weekenden lige i vejen, håber du fortsat har lyst og mulighed for at hjælpe.

Her er de ønskede log´s:

AXFIX logfile - by Marckie
--------------
02-04-2006  23:14:57,14

checking for ps.a3d....
ps.a3d  is present!

checking for matching notify keys....
matching notify keys found
winm

checking for matching services....
matching services found
winm32
winm64

checking for matching safeboot services....
matching safeboot services found
winm32.sys
winm64.sys


Logfile of HijackThis v1.99.1
Scan saved at 23:17:56, on 02-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmer\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Lars B. Søby\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Creative Detector] C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\system32\k480lelm1hqa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winm32 - C:\WINDOWS\SYSTEM32\winm32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Jamen det har jeg da :-)

Begge infektioner er stadig tilstede på din computer. Men det skal vi nok få gjort noget ved ;-)

Kør fix.bat fra haxfix værktøjet (enten via en genvej på skrivebordet, eller ved at gå ind i den mappe, hvor du installerede værktøjet). Vælg option 2 ved at taste 2, og trykke Enter. Hvis der findes en infektion, vil du få besked på at lukke alle åbne vinduer. Gør dette (undtaget haxfix-vinduet selv). Tast Enter. Computeren vil nu genstarte. Efter genstarten vil en logfil åbne  (c:\haxfix.txt). Indholdet af denne log, må du gerne lægge herind.

Prøv herefter om du kan få lov til at køre Look2me-destroyer igen. Hvis du kan det, så læg loggen fra dette værktøjer herind også (ligesom Kalp beskrev ovenfor).

Hvis destroyeren stadig ikke virker, så prøv med dette værktøj:

Hent L2mfix.exe fra et af disse steder:
http://www.atribune.org/downloads/l2mfix.exe
http://www.downloads.subratam.org/l2mfix.exe

Gem filen på dit Skrivebord og dobbeltklik på l2mfix.exe. Klik på Install knappen og følg instruktionerne. Åben herefter den nye mappe der er dannet på dit Skrivebord (l2mfix). Dobbeltklik på l2mfix.bat og vælg option 2 (Run Fix). Så går processen i gang. Dit skrivebord og ikoner vil forsvinde en tid. L2Mfix vil fortsætte med at scanne din computer, og når den er færdig vil den være klar til en genstart. Tryk en taste for at genstarte. Efter genstarten, vil Notepad åbnes med en ny log. Kopiér indholdet af denne log ind i denne tråd, sammen med en ny Hijackthis-log.

NB: Du må ikke køre andre af filerne i l2mfix mappen, før du er blevet bedt om det.

Tak for dit svar...

Skal jeg gøre disse ting i fejlsikret tilstand, eller bare almindelig tilstand?

Almindelig tilstand.

Del 1: Log fra jaxfix:

HAXFIX logfile - by Marckie
--------------
03-04-2006  13:40:37,07

Auto Haxdoorfix


haxdoor key: winm
searching for services....
services found
deleting services.....
[SWSC] DeleteService SUCCESS
[SWSC] DeleteService SUCCESS


rebooting the computer.....


haxdoor key: winm
searching for services....
services not found

checking if files are found.....
winm32.dll exist
winm32.sys exist
winm64.sys exist
winm16.dll not found
winm16.sys not found
winm24.sys not found
winmxt.dll not found
winmxt.sys not found
winmxm.sys not found

deleting files.....

checking if files are deleted.....


checking for other files.....
qy.sys exist
qz.dll exist
qz.sys exist
klogini.dll exist
p3.ini exist
ps.a3d exist
klgcptini.dat not found
qm.dll not found
qm.sys not found
qy.dll not found
zq.dll not found
zq.sys not found
stt82.ini not found
klo5.sys not found
fux87.ini not found
set87.ini not found

deleting other files.....

checking if the files are deleted.....


Finished

Del 2 og 3

Jeps - det lykkedes med Look2Me-Destroyer:


Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 03-04-2006 13:46:04

Infected! C:\WINDOWS\system32\k0080adued080.dll
Infected! C:\WINDOWS\system32\k0080adued080.dll
Infected! C:\WINDOWS\system32\lv0m09d1e.dll
Infected! C:\WINDOWS\system32\n6n6lg5s16.dll
Infected! C:\WINDOWS\system32\weweb.dll
Infected! C:\WINDOWS\system32\__delete_on_reboot__dqvoice.dll
Infected! C:\WINDOWS\system32\__delete_on_reboot__sjtrmko.dll
Infected! C:\WINDOWS\system32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\k0080adued080.dll
C:\WINDOWS\system32\k0080adued080.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\k0080adued080.dll
C:\WINDOWS\system32\k0080adued080.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\lv0m09d1e.dll
C:\WINDOWS\system32\lv0m09d1e.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\n6n6lg5s16.dll
C:\WINDOWS\system32\n6n6lg5s16.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\weweb.dll
C:\WINDOWS\system32\weweb.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\__delete_on_reboot__dqvoice.dll
C:\WINDOWS\system32\__delete_on_reboot__dqvoice.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\__delete_on_reboot__sjtrmko.dll
C:\WINDOWS\system32\__delete_on_reboot__sjtrmko.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ThemeManager

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{FB5E5BB1-7514-4171-A9AB-946412AB36A1}"
HKCR\Clsid\{FB5E5BB1-7514-4171-A9AB-946412AB36A1}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{1B95BAB9-F279-4AF7-8ECD-13ADF00A79E5}"
HKCR\Clsid\{1B95BAB9-F279-4AF7-8ECD-13ADF00A79E5}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratorer - Succeeded

Log fra hijack:

Logfile of HijackThis v1.99.1
Scan saved at 13:56:54, on 03-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\sstray.exe
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programmer\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programmer\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\SpywareGuard\sgmain.exe
C:\Programmer\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lars B. Søby\Skrivebord\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programmer\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmer\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Creative Detector] C:\Programmer\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: SpywareGuard.lnk = C:\Programmer\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Jeps, så blev loggene rene :-) Er du også kommet af med dine symptomer?

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
www.spywareinfo.dk/download/cleantempxp2k.bat
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

I øvrigt: Du havde (bl.a.) en Haxdoor-infektion på computeren. Det er spyware af værste slags, så hvis du har brugt nogle passwords, som du meget nødig vil have i hænderne på andre (særligt PC-bank o.lign), så bør du nok overveje at ændre dem.

Tusinde tak for hjælpen begge to.

Ja, jeg er kommet af med mine symptomer...

Det var dejligt at høre. Jeg takker for point :-)