Hjælp til en Trojan

Den er desværre ikke helt ren. Et øjeblik.

Under dette fix vil computeren blive genstartet, og du bør derfor printe vejledningen ud, for at have den ved din side under hele fixet. Fixet skal bruge adgang til internettet, så det skal du sikre dig, at der er.

-- Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og kør Ewido - opdater programmet.

-- Hent FixWareout fra et af disse links:
http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

-- Gem filen på dit Skrivebord og dobbeltklik på den. Klik Next -> Install og check, at der er et flueben i "Run fixit" - klik herefter på Finish. Fixet vil nu starte, og du skal blot følge instruktionerne. Du vil blive bedt om at genstarte din computer - gør venligst det. Genstarten vil tage lidt længere tid end normalt...

-- Når dit system genstarter skal du fortsat følge den vejledning, der gives på skærmen. Når fixet er færdigt vil der åbnes en log (report.txt), som du skal gemme og lægge herind i næste post.

-- Klik på Start-kør. Skriv: Services.msc Tast OK.
Find følgende services, højreklik på dem og vælg egenskaber. Under starttype vælger du deaktiveret. Klik også på Stop:
NTLOAD
NTSVCMGR

-- Kør herefter HijackThis - klik på "Do a systemscan only", og sæt et flueben ud for følgende linier - luk øvrige programvinduer - klik "Fix checked":

O17 - HKLM\System\CCS\Services\Tcpip\..\{35A0C167-A2E9-4E44-B43D-615D5B656580}: NameServer = 85.255.114.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{C67EE0F3-221A-4F70-BEF4-DEF0750738B4}: NameServer = 85.255.114.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{C99784C8-B4AF-4063-A9B8-30FE16DD0385}: NameServer = 85.255.114.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{35A0C167-A2E9-4E44-B43D-615D5B656580}: NameServer = 85.255.114.6

-- Genstart til fejlsikret (tryk på <F8> under opstarten).

-- Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

Find herefter denne mappe, og slet den:
c:\windows\system32\dllcache\win32\

-- Kør en fuld scanning med Ewido, og lad den slette det, den finder. Programmet laver en lille log, som du skal kopiere herind i dit næste svar.

-- Luk HJT. Genstart din computer, og kopier indholdet af C:\fixwareout\report.txt herind sammen med en frisk HijackThis log.

Er lige nødt til at tage sydpå og lave comp for familien er tilbage igen mandag så skal jeg nok komme igang

Alt i orden :-)

ok så er jeg tilbavs igen

Fixwareout log


Fixwareout ver 1.003
Last edited 04/09/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool


Ewido log
---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            15:46:06, 11-04-2006
+ Rapport-Checksum:        D09D5A87

+ Scanningsresultat:
    C:\Documents and Settings\Loke76\Cookies\loke76@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Renset med backup


::Rapport slut


HJT log

Logfile of HijackThis v1.99.1
Scan saved at 21:27:01, on 11-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Programmer\MSI\Core Center\CoreCenter.exe
C:\Programmer\Logitech\SetPoint\SetPoint.exe
C:\Programmer\Samurize\Client.exe
C:\Programmer\Fælles filer\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmer\Messenger\msmsgs.exe
C:\Documents and Settings\Loke76\Skrivebord\System\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmer\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programmer\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q
O4 - Startup: Client Default.lnk = C:\Programmer\Samurize\Client.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CoreCenter.lnk = C:\Programmer\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138970593078
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FLLESF~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmer\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Center\SymWSC.exe

Det hjalp på det. Loggene er nu rene :-)

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
www.spywareinfo.dk/download/cleantempxp2k.bat
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

Du er bare "The Man" tusind tak for super hjælp..

Lige et tillægs spm. Fixwareout kan ikke køres på min bærbar. Dos prompt vinduet kommer op, når jeg så trykker på en tast for at fortsætte, forsvinder prompt vinduet og der sker ikke mere. Ligger gerne en HJT log ind, eller opretter et nyt spm hvis du gerne vil have point..

MVH

Thomas

Det var så lidt. Jeg takker for point :-)

Nu var du jo meget rundhåndet med point i denne tråd, så hvis vi kan nå det inden jeg tager på ferie, kan vi bare fortsætte her.

Prøv på den bærbare at finde loggen fra Fixwareout-kørslen. Den ligger her:
c:\Fixwareout\report.txt

...og læg indholdet herind. Så kan jeg nok bedre vurdere, hvad der er gået galt *S*

Fixwareout laver slet ikke en log, så langt når den åbentbart ikke. Hvis jeg prøver at køre den i fejlsikret når jeg kun lige ind i mappen  med fixwareout, så vil mit visual studio 2005 debugge, og hvis jeg siger nej lukker mappen bare, hvis jeg siger ja starter viasual studio 2005. Hvis jeg prøver at køre spyware doctor siger den bare at spyware doctor encountered a problem and has generated an exception report.. I det hele taget opfører den bærbare sig noget anderledes i fejlsikret tilstand end den stationære.. Tror det muligvis har noget med visual studio 2005 at gøre. Den vil heller ikke genstarte fra fejl sikret. Der når den til den blå "windows Lukker" skærm og så kommer den bare ikke længere.

Spyware Doctor Error report

date/time        : 2006-04-12, 09:37:32, 44ms
computer name    : VALHALLA2
user name        : Administrator
operating system  : Windows XP Service Pack 2 build 2600
system language  : Danish
system up time    : 4 minutes 22 seconds
program up time  : 35 seconds
processor        : Intel(R) Pentium(R) M processor 1.70GHz
physical memory  : 562/767 MB (free/total)
free disk space  : (C:) 22,83 GB
display mode      : 1024x768, 32 bit
process id        : $568
allocated memory  : 53,27 MB
executable        : swdoctor.exe
exec. date/time  : 2006-04-06 21:32
version          : 3.8.0.1555
madExcept version : 2.7g
exception class  : EDivByZero
exception message : Division by zero.

thread $670: <priority:2>
08963e3b +000 lameacm.acm           
76b3313b +013 winmm.dll              SendDriverMessage
77bd8b40 +1d6 MSACM32.dll            acmStreamOpen
77bd59b0 +0a8 MSACM32.dll            acmDriverEnum
72cc129c +072 msacm32.drv            wodMessage
76b35356 +145 winmm.dll              waveOutOpen
77d396c2 +00a user32.dll            DispatchMessageA
00429a15 +039 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
76b35f4c +000 winmm.dll             

main thread ($56c):
7c90eb94 +000 ntdll.dll                            KiFastSystemCallRet
7c90e9be +00a ntdll.dll                            NtWaitForSingleObject
7c8025d5 +085 kernel32.dll                          WaitForSingleObjectEx
7c80253d +00d kernel32.dll                          WaitForSingleObject
0041c2ff +03f swdoctor.exe madExcept                PauseMeEventually
0042a004 +004 swdoctor.exe madExcept                PeekMessageCallbackA
00934d3b +013 vcl70.bpl    Forms                    TApplication.ProcessMessage
00934dca +00a vcl70.bpl    Forms                    TApplication.ProcessMessages
0052ee51 +401 swdoctor.exe Unit_scan        870 +74 TFormScan.Scan_Start
00530426 +02e swdoctor.exe Unit_scan      1138  +4 TFormScan.StartFullScan
0053c7a9 +059 swdoctor.exe unit_main      1401  +8 TFormMain.miScanStartFullScanClick
00549a69 +049 swdoctor.exe unit_status      229  +3 TFormStatus.sbStartQuickScanClick
009114d8 +064 vcl70.bpl    Controls                TControl.Click
009016d0 +01c vcl70.bpl    Stdctrls                TButton.Click
0042ec2b +02b swdoctor.exe skinbutton_unit  381  +2 TSkinButton.Click
009017c4 +00c vcl70.bpl    Stdctrls                TButton.CNCommand
00911340 +188 vcl70.bpl    Controls                TControl.WndProc
0091452b +157 vcl70.bpl    Controls                TWinControl.WndProc
00901594 +06c vcl70.bpl    Stdctrls                TButtonControl.WndProc
00911110 +024 vcl70.bpl    Controls                TControl.Perform
00914d1b +00b vcl70.bpl    Controls                TWinControl.WMCommand
00911340 +188 vcl70.bpl    Controls                TControl.WndProc
0091452b +157 vcl70.bpl    Controls                TWinControl.WndProc
009141a8 +02c vcl70.bpl    Controls                TWinControl.MainWndProc
77d3b8fe +044 user32.dll                            SendMessageW
009141a8 +02c vcl70.bpl    Controls                TWinControl.MainWndProc
77d3e900 +016 user32.dll                            CallWindowProcA
0091460f +0d7 vcl70.bpl    Controls                TWinControl.DefaultHandler
0042ee64 +064 swdoctor.exe skinbutton_unit  462 +12 TSkinButton.DefaultHandler
009118e0 +010 vcl70.bpl    Controls                TControl.WMLButtonUp
0042ec82 +04e swdoctor.exe skinbutton_unit  391  +4 TSkinButton.WMLButtonUp
00911340 +188 vcl70.bpl    Controls                TControl.WndProc
0091452b +157 vcl70.bpl    Controls                TWinControl.WndProc
00901594 +06c vcl70.bpl    Stdctrls                TButtonControl.WndProc
009141a8 +02c vcl70.bpl    Controls                TWinControl.MainWndProc
77d396c2 +00a user32.dll                            DispatchMessageA
00934dab +083 vcl70.bpl    Forms                    TApplication.ProcessMessage
00934dca +00a vcl70.bpl    Forms                    TApplication.ProcessMessages
008ae9bb +00f vcl70.bpl    Extctrls                TTimer.Timer
008ae89f +02b vcl70.bpl    Extctrls                TTimer.WndProc
77d396c2 +00a user32.dll                            DispatchMessageA
00934dab +083 vcl70.bpl    Forms                    TApplication.ProcessMessage
00934de2 +00a vcl70.bpl    Forms                    TApplication.HandleMessage
00935002 +096 vcl70.bpl    Forms                    TApplication.Run
00574f80 +2d4 swdoctor.exe swdoctor        139 +56 initialization

thread $578:
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e397 +0a ntdll.dll              NtReplyWaitReceivePortEx
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
77e8760d +00 RPCRT4.dll           

thread $57c:
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90d85a +0a ntdll.dll              NtDelayExecution
7c8023e7 +4b kernel32.dll          SleepEx
7c80244c +0a kernel32.dll          Sleep
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
774fcc4a +00 ole32.dll             

thread $580:
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
77d4107d +3b user32.dll            GetMessageA
77c2a3ad +a6 msvcrt.dll            _endthreadex
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
77c2a43d +62 msvcrt.dll            _beginthreadex

thread $584:
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
77dea17c +00 advapi32.dll         

thread $588 (TSubscriptionThread): <priority:-1>
7c90eb94 +00 ntdll.dll                        KiFastSystemCallRet
7c90e9be +0a ntdll.dll                        NtWaitForSingleObject
7c8025d5 +85 kernel32.dll                      WaitForSingleObjectEx
7c80253d +0d kernel32.dll                      WaitForSingleObject
4003d801 +09 rtl70.bpl    Syncobjs            TEvent.WaitFor
00559a3b +1b swdoctor.exe uSubscription 441 +2 TSubscriptionThread.Execute
00429a94 +20 swdoctor.exe madExcept            HookedTThreadExecute
00429a15 +39 swdoctor.exe madExcept            ThreadExceptFrame
>> created by main thread ($56c) at:
00559993 +1f swdoctor.exe uSubscription 426 +1 TSubscriptionThread.Create

thread $58c (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $590 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $594 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $598 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $59c (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5a0 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5a4 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5a8 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5ac (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5b0 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5b4 (TRegistryHook): <priority:-2>
7c90eb94 +00 ntdll.dll                KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
01d738d8 +00 actstartup.dll         

thread $5b8:
7c90eb94 +00 ntdll.dll    KiFastSystemCallRet
7c90e286 +0a ntdll.dll    NtReadFile
7c80186f +61 kernel32.dll  ReadFile

thread $5e4 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
030d18fd +00 Immunizer.dll         

thread $5e8:
7c90eb94 +00 ntdll.dll    KiFastSystemCallRet
7c90e286 +0a ntdll.dll    NtReadFile
7c80186f +61 kernel32.dll  ReadFile

thread $614:
7c90eb94 +00 ntdll.dll    KiFastSystemCallRet
7c90e286 +0a ntdll.dll    NtReadFile
7c80186f +61 kernel32.dll  ReadFile

thread $640 (TNotiThread):
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90d85a +0a ntdll.dll              NtDelayExecution
7c8023e7 +4b kernel32.dll          SleepEx
7c80244c +0a kernel32.dll          Sleep
00429a94 +20 swdoctor.exe madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
0543f4b2 +96 sdn.dll                InitTool

thread $648:
7c90eb94 +00 ntdll.dll    KiFastSystemCallRet
7c90e286 +0a ntdll.dll    NtReadFile
7c80186f +61 kernel32.dll  ReadFile

thread $64c (TWorkerThread):
7c90eb94 +00 ntdll.dll                        KiFastSystemCallRet
7c90e9be +0a ntdll.dll                        NtWaitForSingleObject
7c8025d5 +85 kernel32.dll                      WaitForSingleObjectEx
7c80253d +0d kernel32.dll                      WaitForSingleObject
004ceab2 +16 swdoctor.exe VirtualTrees 5064 +3 TWorkerThread.Execute
00429a94 +20 swdoctor.exe madExcept            HookedTThreadExecute
00429a15 +39 swdoctor.exe madExcept            ThreadExceptFrame
>> created by main thread ($56c) at:
004ce9bb +23 swdoctor.exe VirtualTrees 5027 +1 TWorkerThread.Create

thread $650 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
02cd84d1 +00 iemonitor.dll         

thread $654 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
02cd84d1 +00 iemonitor.dll         

thread $658 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll            WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll            WaitForMultipleObjects
00429a94 +20 swdoctor.exe  madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe  madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
02cd84d1 +00 iemonitor.dll         

thread $65c (TRegMonitorThread):
7c90eb94 +00 ntdll.dll                  KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                  NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll              WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll              WaitForMultipleObjects
00429a94 +20 swdoctor.exe    madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe    madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
0332b9a5 +00 networkguard.dll         

thread $660 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll                  KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                  NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll              WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll              WaitForMultipleObjects
00429a94 +20 swdoctor.exe    madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe    madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
0332b9a5 +00 networkguard.dll         

thread $664 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll                  KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                  NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll              WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll              WaitForMultipleObjects
00429a94 +20 swdoctor.exe    madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe    madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
0332b9a5 +00 networkguard.dll         

thread $668 (TRegMonitorThread):
7c90eb94 +00 ntdll.dll                  KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll                  NtWaitForMultipleObjects
7c8094ec +00 kernel32.dll              WaitForMultipleObjectsEx
7c809c81 +13 kernel32.dll              WaitForMultipleObjects
00429a94 +20 swdoctor.exe    madExcept HookedTThreadExecute
00429a15 +39 swdoctor.exe    madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
0332b9a5 +00 networkguard.dll         

thread $66c:
7c90eb94 +00 ntdll.dll              KiFastSystemCallRet
7c90e9a9 +0a ntdll.dll              NtWaitForMultipleObjects
00429a15 +39 swdoctor.exe madExcept ThreadExceptFrame
>> created by main thread ($56c) at:
77e2e9bf +00 advapi32.dll         

modules:
00400000 swdoctor.exe      3.8.0.1555      C:\Programmer\Spyware Doctor
00890000 vcl70.bpl          7.0.4.453        C:\Programmer\Spyware Doctor
009f0000 ishelp.dll        3.6.1.1033      C:\Programmer\Spyware Doctor
01c30000 chilkatxml.dll    4.1.0.2          C:\Programmer\Spyware Doctor
01d50000 actstartup.dll    3.6.1.1110      C:\Programmer\Spyware Doctor\Tools
01d90000 bhoscanner.dll    3.6.0.1046      C:\Programmer\Spyware Doctor\Tools
02bb0000 BAScanner.dll      3.6.0.1069      C:\Programmer\Spyware Doctor\Tools
02bd0000 browserscanner.dll 3.6.0.1054      C:\Programmer\Spyware Doctor\Tools
02bf0000 diskscanner.dll    3.6.0.1087      C:\Programmer\Spyware Doctor\Tools
02c10000 exploitguard.dll  3.6.0.1003      C:\Programmer\Spyware Doctor\Tools
02c70000 genscanner.dll    3.6.0.1005      C:\Programmer\Spyware Doctor\Tools
02c80000 hostsscanner.dll  3.6.0.1040      C:\Programmer\Spyware Doctor\Tools
02ca0000 iemonitor.dll      3.6.0.1281      C:\Programmer\Spyware Doctor\Tools
02d00000 iesdpb.dll        3.6.0.1280      C:\Programmer\Spyware Doctor\Tools
02ee0000 iesdsg.dll        3.6.0.1068      C:\Programmer\Spyware Doctor\Tools
030c0000 Immunizer.dll      3.6.0.1059      C:\Programmer\Spyware Doctor\Tools
030f0000 itoollib.dll      3.6.0.1048      C:\Programmer\Spyware Doctor\Tools
03140000 keyloggerguard.dll 3.6.0.1039      C:\Programmer\Spyware Doctor\Tools
031b0000 lspscanner.dll    3.6.0.1052      C:\Programmer\Spyware Doctor\Tools
031c0000 memory.dll        3.6.0.1005      C:\Programmer\Spyware Doctor\Tools
03310000 networkguard.dll  3.6.0.1025      C:\Programmer\Spyware Doctor\Tools
03350000 popupblocker.dll  3.6.0.1280      C:\Programmer\Spyware Doctor\Tools
052b0000 processguard.dll  3.6.0.1069      C:\Programmer\Spyware Doctor\Tools
05320000 pscanner.dll      3.6.0.1047      C:\Programmer\Spyware Doctor\Tools
05360000 PWindow.dll        3.6.0.1020      C:\Programmer\Spyware Doctor\Tools
053a0000 regscanner.dll    3.6.0.1030      C:\Programmer\Spyware Doctor\Tools
053c0000 scheduler.dll      3.6.0.1044      C:\Programmer\Spyware Doctor\Tools
053f0000 sdn.dll            3.6.0.1022      C:\Programmer\Spyware Doctor\Tools
05560000 siteguard.dll      3.6.0.1068      C:\Programmer\Spyware Doctor\Tools
055c0000 StartupScanner.dll 3.6.0.1005      C:\Programmer\Spyware Doctor\Tools
06e50000 swpg.dat          3.6.0.1069      C:\Programmer\Spyware Doctor\Tools
08960000 lameacm.acm        0.0.9.0          C:\PROGRA~1\ACEMEG~1\SystemS
10000000 ikhtool.dll        3.6.1.1005      C:\Programmer\Spyware Doctor
20000000 xpsp2res.dll      5.1.2600.2180    C:\WINDOWS\system32
40000000 rtl70.bpl          7.0.4.453        C:\Programmer\Spyware Doctor
582d0000 tssoft32.acm      1.1.1.5          C:\PROGRA~1\ACEMEG~1\SystemS
58630000 iac25_32.ax        2.0.5.53        C:\WINDOWS\System32
5a000000 klg.dat            3.6.0.1039      C:\Programmer\Spyware Doctor\Tools
5a800000 eg.dat            3.6.0.1003      C:\Programmer\Spyware Doctor\Tools
5b250000 uxtheme.dll        6.0.2900.2180    C:\WINDOWS\system32
5b580000 umdmxfrm.dll      5.1.2600.0      C:\WINDOWS\system32
5d260000 serwvdrv.dll      5.1.2600.0      C:\WINDOWS\system32
5ec70000 perfos.dll        5.1.2600.2180    C:\WINDOWS\system32
5f2e0000 olepro32.dll      5.1.2600.2180    C:\WINDOWS\system32
60930000 NETAPI32.dll      5.1.2600.2180    C:\WINDOWS\system32
61eb0000 MFC42LOC.DLL      6.0.8665.0      C:\WINDOWS\system32
68e70000 hhctrlui.dll      4.74.9273.0      C:\WINDOWS\system32\mui\0006
6b980000 msscript.ocx      1.0.0.8820      C:\WINDOWS\system32
71a70000 WS2HELP.dll        5.1.2600.2180    C:\WINDOWS\system32
71a80000 WS2_32.dll        5.1.2600.2180    C:\WINDOWS\system32
71aa0000 wsock32.dll        5.1.2600.2180    C:\WINDOWS\system32
71af0000 mpr.dll            5.1.2600.2180    C:\WINDOWS\system32
71bc0000 SAMLIB.dll        5.1.2600.2180    C:\WINDOWS\system32
71d60000 URL.dll            6.0.2900.2180    C:\WINDOWS\system32
72cc0000 msacm32.drv        5.1.2600.0      C:\WINDOWS\system32
72fb0000 winspool.drv      5.1.2600.2180    C:\WINDOWS\system32
732b0000 vbscript.dll      5.6.0.8820      C:\WINDOWS\system32
73b20000 tsd32.dll          1.3.3.7          C:\WINDOWS\system32
73d80000 MFC42.DLL          6.2.4131.0      C:\WINDOWS\system32
74cf0000 oledlg.dll        5.1.2600.0      C:\WINDOWS\system32
75e70000 SXS.DLL            5.1.2600.2180    C:\WINDOWS\system32
76340000 WINSTA.dll        5.1.2600.2180    C:\WINDOWS\system32
76390000 comdlg32.dll      6.0.2900.2180    C:\WINDOWS\system32
76660000 CRYPTUI.dll        5.131.2600.2180  C:\WINDOWS\system32
76b30000 winmm.dll          5.1.2600.2180    C:\WINDOWS\system32
76c20000 WINTRUST.dll      5.131.2600.2180  C:\WINDOWS\system32
76c80000 IMAGEHLP.dll      5.1.2600.2180    C:\WINDOWS\system32
76f40000 WtsApi32.dll      5.1.2600.2180    C:\WINDOWS\system32
76f50000 WLDAP32.dll        5.1.2600.2180    C:\WINDOWS\system32
76fc0000 CLBCATQ.DLL        2001.12.4414.308 C:\WINDOWS\system32
77040000 COMRes.dll        2001.12.4414.258 C:\WINDOWS\system32
77110000 oleaut32.dll      5.1.2600.2180    C:\WINDOWS\system32
771a0000 WININET.dll        6.0.2900.2823    C:\WINDOWS\system32
773c0000 comctl32.dll      6.0.2900.2180    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9
774d0000 ole32.dll          5.1.2600.2726    C:\WINDOWS\system32
77680000 NTMARTA.DLL        5.1.2600.2180    C:\WINDOWS\system32
77750000 SHDOCVW.dll        6.0.2900.2823    C:\WINDOWS\system32
77910000 SETUPAPI.dll      5.1.2600.2180    C:\WINDOWS\system32
77a70000 CRYPT32.dll        5.131.2600.2180  C:\WINDOWS\system32
77b10000 MSASN1.dll        5.1.2600.2180    C:\WINDOWS\system32
77bd0000 MSACM32.dll        5.1.2600.2180    C:\WINDOWS\system32
77bf0000 version.dll        5.1.2600.2180    C:\WINDOWS\system32
77c00000 msvcrt.dll        7.0.2600.2180    C:\WINDOWS\system32
77d30000 user32.dll        5.1.2600.2622    C:\WINDOWS\system32
77dc0000 advapi32.dll      5.1.2600.2180    C:\WINDOWS\system32
77e70000 RPCRT4.dll        5.1.2600.2180    C:\WINDOWS\system32
77f10000 GDI32.dll          5.1.2600.2818    C:\WINDOWS\system32
77f60000 SHLWAPI.dll        6.0.2900.2823    C:\WINDOWS\system32
77fe0000 Secur32.dll        5.1.2600.2180    C:\WINDOWS\system32
7c800000 kernel32.dll      5.1.2600.2180    C:\WINDOWS\system32
7c900000 ntdll.dll          5.1.2600.2180    C:\WINDOWS\system32
7c9c0000 shell32.dll        6.0.2900.2763    C:\WINDOWS\system32
7db10000 hhctrl.ocx        5.2.3790.2453    C:\WINDOWS\system32

hardware:
+ Batterier
  - Microsoft AC-adapter
  - Microsoft ACPI-kompatibelt Control Method-batteri
+ Computer
  - PC med avanceret konfigurations- og strømforsyningsgrænseflade (ACPI)
+ Diskdrev
  - HITACHI_DK23FA-80
+ DVD-/Cd-rom-drev
  - PIONEER DVD-RW  DVR-K14L
+ Enheder til lyd, video og spil
  - Codecs til lydenheder
  - Codecs til videoenheder
  - Drivere til ældre lydenheder
  - Mediestyringsenheder
  - MEDION SAA7134, Hybrid Capture Device (driver 1.3.1.15)
  - Realtek AC'97 Audio (driver 5.10.0.5650)
  - Ældre videocaptureenheder
+ IDE ATA/ATAPI-controllere
  - Intel(R) 82801DBM Ultra ATA Storage Controller - 24CA (driver 5.1.1.1001)
  - Primær IDE-kanal
  - Sekundær IDE-kanal
+ IEEE 1394 Bus-værtscontrollere
  - Texas Instruments OHCI Compliant IEEE 1394-værtscontroller
+ Infrarøde enheder
  - IrDA Fast infrared-port (driver 1.0.0.0)
+ Modemer
  - Intel(R) 537EA Modem (driver 2.1.84.106)
+ Mus og andre pegeenheder
  - Synaptics PS/2 Port TouchPad (driver 7.6.1.0)
+ Netværkskort
  - Broadcom 440x 10/100 Integrated Controller (driver 4.25.0.0)
  - Intel(R) PRO/Wireless 2200BG Network Connection (driver 9.0.2.25)
+ PCMCIA- og Flash-hukommelsesenheder
  - Texas Instruments PCIxx21 Integrated FlashMedia Controller (driver 1.0.1.4)
+ PCMCIA-kort
  - Texas Instruments PCIxx21/x515 Cardbus Controller
  - Texas Instruments PCIxx21/x515 Cardbus Controller
+ Porte (COM & LPT)
  - ECP-printerport (LPT1)
  - Kommunikationsport (COM1)
+ Processorer
  - Intel(R) Pentium(R) M processor 1.70GHz
+ Skærmkort
  - ATI MOBILITY RADEON 9600/9700 Series (Omega 3.8.221) (driver 8.221.0.0)
+ Systemenheder
  - ACPI-dvaleknap
  - ACPI-dæksel
  - ACPI-knap til fast funktion
  - ACPI-termisk zone
  - ACPI-termisk zone
  - Bundkortressourcer
  - Diskenhedsstyring
  - DMA-controller
  - Driver til Microsoft System Management BIOS
  - Enhedsomdirigering til Terminal Server
  - Intel(R) 82801DB/DBM SMBus Controller - 24C3  (driver 4.0.1001.0)
  - Intel(R) 82801DBM LPC Interface Controller - 24CC  (driver 4.0.1001.0)
  - Intel(R) 82801DBM PCI Bridge - 2448 (driver 4.0.1001.0)
  - Intel(r) 82802 Firmware-hubenhed
  - Intel(R) 82855PM Processor to AGP Controller - 3341  (driver 4.20.1007.0)
  - Intel(R) 82855PM Processor to I/O Controller - 3340  (driver 4.20.1007.0)
  - ISAPNP-port til læsning af data
  - Logical Disk Manager
  - Microsoft ACPI-kompatibelt Embedded-controller
  - Microsoft ACPI-kompatibelt system
  - Microsoft-sammensat batteri
  - Numerisk dataprocessor
  - Opdateringsenhed til mikrokode
  - PCI-bus
  - Plug and Play Software-enhedsoptælling
  - Programmerbar interruptcontroller
  - System CMOS/realtidsur
  - Systemtimer
  - Terminal Server-musedriver
  - Terminal Server-tastaturdriver
+ Tastaturer
  - Standard 101/102-tastatur eller Microsoft Natural PS/2 Keyboard
+ USB-controllere
  - Intel(R) 82801DB/DBM USB Universal Host Controller - 24C2  (driver 5.1.0.1006)
  - Intel(R) 82801DB/DBM USB Universal Host Controller - 24C4  (driver 5.1.0.1006)
  - Intel(R) 82801DB/DBM USB Universal Host Controller - 24C7  (driver 5.1.0.1006)
  - Intel(R) 82801DB/DBM USB2 Enhanced Host Controller - 24CD  (driver 5.1.0.1006)
  - USB-rodhub
  - USB-rodhub
  - USB-rodhub
  - USB-rodhub
  - X10 USB Wireless Transceiver (ACPI-compliant) (driver 3.0.0.187)

disassembling:
08963e3b sub_8963e3b:                    ; function entry point
08963e3b > idiv    esi
08963e3d  pop    esi
08963e3e  mov    [esp+$c], eax
08963e42  fild    dword ptr [esp+$c]
08963e46  fcomp  qword ptr [$89a5270]
08963e4c  fnstsw  ax
08963e4e  and    eax, $4100
08963e53  jnz    loc_8963e7b
08963e53
08963e55  fild    dword ptr [esp+8]
08963e59  shl    ecx, 4
08963e5c  mov    [esp+8], ecx
08963e60  fmul    qword ptr [$89a5268]
08963e66  fild    dword ptr [esp+8]
08963e6a  fdivp  st(1), st
08963e6c  call    +$573f ($89695b0)
08963e6c
08963e71  push    eax
08963e72  call    +$15ab9 ($8979930)
08963e72
08963e77  add    esp, 4
08963e7a  ret
08963e7a
08963e7a ; ---------------------------------------------------------
08963e7a
08963e7b loc_8963e7b:
08963e7b  fild    dword ptr [esp+4]
08963e7f  fmul    qword ptr [$89a5260]
08963e85  call    +$5726 ($89695b0)
08963e85
08963e8a  push    eax
08963e8b  call    +$15aa0 ($8979930)
08963e8b
08963e90  add    esp, 4
08963e93  ret

HJT log

Logfile of HijackThis v1.99.1
Scan saved at 09:31:31, on 12-04-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programmer\Spyware Doctor\sdhelp.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmer\Launch Manager\LaunchAp.exe
C:\Programmer\Launch Manager\HotkeyApp.exe
C:\Programmer\Launch Manager\OSD.exe
C:\Programmer\Launch Manager\Wbutton.exe
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\Home Cinema\PowerCinema\PCMService.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\Samurize\Client.exe
C:\Programmer\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programmer\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\Fælles filer\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Administrator\Skrivebord\System\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programmer\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programmer\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programmer\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programmer\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programmer\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programmer\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programmer\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmer\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programmer\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programmer\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Client Default.lnk = C:\Programmer\Samurize\Client.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmer\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programmer\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmer\Fælles filer\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programmer\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmer\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Programmer\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Der er nu faktisk slet ingen tegn på en Wareout-infektion på den maskine. I det hele taget er der ikke tegn på infektioner i logsene. Hvis du gerne vil have lavet et ekstra check, så prøv at køre en scanning med Dr.Web:

Hent Dr. Web, og gem det på skrivebordet:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart til fejlsikret tilstand (tryk F8 under opstarten)

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik "Yes to All", så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:
Scan statistics.

Vejledning i billeder findes her:
http://fromsej.dk/Vejledninger/html/drweb.html

Angående de problemer som du nævner, så må jeg indrømme, at jeg ikke ved så meget om, hvordan "visual studio 2005" kører. De problemer du nævner, tyder dog for mig at se mere på systemfejl end på virus-fejl. Måske kunne det hjælpe at prøve og afinstallere Visual Studio? Eller at lave et sfc-scan eller en repair:
Sfc-scan: http://www.hcma.dk/tips21to30.htm#no22
Repair: http://www.hcma.dk/tips1to10.htm#no4

Spyware Doctor har jeg ikke så høje tanker om, selvom den nu ikke plejer at crashe når man sætter den til at scanne. En meget effektiv spyware-scanner, som både fåes i gratis- og købeversion er SuperAntispyware. Kan hentes herfra:
http://www.spywarefri.dk/downloads1.htm

Vejledning finder du her:
http://www.spywarefri.dk/manualer/superantispyware-manual.htm

SuperAntispyware er dog stadig en ret ny scanner, og har endnu indimellem nogle falske positiver. Hvis du vil have en rigtig god scanner, der også er velafprøvet efterhånden, skal du have fat i Spysweeper:
http://www.spywarefri.dk/manualer/spysweeper-manual.htm

thanx.. du er for sej.

-----------------------------------------------------------------------------
Scan statistics
-----------------------------------------------------------------------------
Objects scanned: 128629
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 611 Kb/s
Scan time: 00:55:07
-----------------------------------------------------------------------------

=============================================================================
Total session statistics
=============================================================================
Objects scanned: 128724
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 618 Kb/s
Scan time: 00:55:21
=============================================================================

Dr. Web fandt åbenbart heller ikke noget. Jeg tror derfor at du nok skal satse på, at det er nogle systemfejl, der er årsagen.

ja det er sku nok det skide VS 2005, det giver ikke andet end probz.. men tak for alt din hjælp