Hijack This

Er der ikke en som kan hjælpe???

Hent S!Ri's SmitfraudFix.zip og pak det ud til dit Skrivebord.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.

-- Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og opdater programmet, men vent med at scanne.

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Det vil også checke om systemfilen wininet.dll er inficeret. Hvis den er det, vil du blive bedt om tilladelse til at erstatte den med en anden. Her skal du vælge "Yes", ved at taste "y".

Programmet bliver muligvis nødt til at genstarte undervejs. Herefter vil der dukke en liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden.

-- Kør en fuld scanning med Ewido, og tillad programmet at fixe de ting, som det finder. Programmet laver en lille log, som du skal kopiere herind.

-- Genstart og læg en frisk Hijackthislog herind, sammen med loggen fra Ewido og loggen fra SmitfraudFix (C:\rapport.txt).

NB: Filen "process.exe" som ligger i dette værktøj bliver af visse antivirus-programmer identificeret som "RiskTool". Det har dog ikke noget på sig!

Ok..Det prøver jeg..Det var ellers noget af en smørre ;-)

Kan ikke opdatere ewido..Virus smider mig af nettet ind i mellem..
Skal jeg fortsætte uden at opdatere?

den vil ikke opdattere...Hvergang jeg klikker start update går den tilbage så der står start update

Prøver uden at opdaterer...og vender tilbage

Den mappe der hedder smitfraudfix er ikke på skrivebordet i fejlsikret tilstand

Og hvad menes med at kopiere denne liste ind i tråden??

Så hent/placér smitfraudfix et sted som du bombesikker på ka' finde bagefter; eks C:\Temp (opret mappen først hvis den ikke findes allerede...)

"... liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden...."  - _kopier_ hele teksten og _sæt ind_ i denne tråd...

KAN evt. se sådan ud:
Eksempel...

smit log:
SmitFraudFix v2.34

Scan done at XX:XX:XX
Run from C:\Documents and Settings\Administrator\Skrivebord\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\system32\hp????.tmp Deleted
C:\WINDOWS\system32\interf.tlb Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ncompat.tlb Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\xenadot.dll Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOCUME~1\ADMINI~1\FORETR~1\Antivirus Test Online.url Deleted
C:\Programmer\SpywareQuake.com\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» End

Eksempel...

Så nu er den endelig færdig... Her er hijack

Logfile of HijackThis v1.99.1
Scan saved at 00:07:31, on 21-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
F:\Clone cd\CloneCDTray.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Må ikke slettes\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Her er Ewido


Incident                                                                        Status                        Location                                                                                                                                                                                                                                                       

Adware:adware/emediacodec                                                      Not disinfected              c:\windows\system32\atmclk.exe                                                                                                                                                                                                                                 
Adware:adware/xpasswordmanager                                                  Not disinfected              c:\windows\system32\ld100.tmp                                                                                                                                                                                                                                 
Adware:adware/securityerror                                                    Not disinfected              c:\windows\system32\ot.ico                                                                                                                                                                                                                                     
Potentially unwanted tool:application/winfixer2005                              Not disinfected              c:\windows\downloaded program files\UWA6PK_0001_N73M1204NetInstaller.exe                                                                                                                                                                                       
Adware:adware/spywarequake                                                      Not disinfected              c:\windows\system32\1024\ldEC70.tmp                                                                                                                                                                                                                           
Potentially unwanted tool:application/winantivirus2006                          Not disinfected              c:\programmer\WinAntiVirus Pro 2006                                                                                                                                                                                                                           
Spyware:Cookie/Adtech                                                          Not disinfected              C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@adtech[1].txt                                                                                                                                                                                   
Spyware:Cookie/Mediaplex                                                        Not disinfected              C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@mediaplex[1].txt                                                                                                                                                                                 
Spyware:Cookie/Reliablestats                                                    Not disinfected              C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@stats1.reliablestats[2].txt                                                                                                                                                                     
Adware:Adware/IST.ISTBar                                                        Not disinfected              Private mapper\Sendt post\Crack til FM2006\fm2006 no cd crack(1).zip[setup.exe]                                                                                                                                                                               
Potentially unwanted tool:Application/Winantivirus2006                          Not disinfected              C:\Programmer\Fælles filer\WinAntiVirus Pro 2006\WapCHK.dll                                                                                                                                                                                                   
Potentially unwanted tool:Application/Restart                                  Not disinfected              C:\WINDOWS\system32\Tools\Restart.exe                                                                                                                                                                                                                         
Adware:Adware/KeenValue                                                        Not disinfected              F:\eMule\eMule\Incoming\Uru - Ages Beyond Myst Crack - Keygen - Serial.zip[nocd_patch_crack.exe]                                                                                                                                                               
Virus:Trj/Agent.BZF                                                            Disinfected                  F:\No cd crack's\[Pc Game No CD] The Godfather Crack Updated-Fixed 03-2006\Setup.exe                                                                                 

Og Til sidst Smitfraudfix

      SmitFraudFix v2.62

Scan done at 21:17:26,23, 20-06-2006
Run from C:\Documents and Settings\Administrator\Skrivebord\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"



»»»»»»»»»»»»»»»»»»»»»»»» End

Men kl er mange og skal tidligt op...

Så kommer på igen imorgen

Så er jeg her igen.

<arlet> vil fortsætte senerer...

Ja det regner jeg også med.. :-)

Hej igen... Har imellem tiden kørt en X-clean og slettet bla en zango.. efter jeg genstartede begyndte ewido at opdatere.. Så jeg gør lige det du bad mig om i fejlsikret igen og ligger nye logger ind...

... du vil nok bemærke at
C:\WINDOWS\system32\hp100.tmp
bør være ædt nu ...

Nu vil jeg ikke ta' det fra <arlet> men fix lige
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
i HiJackThis.

Er ikke så 'sund' at have - Ref.: http://castlecops.com/tk30180-no_name.html

Check at filen C:\WINDOWS\system32\ixt0.dll virkelig er væk bagefter - ellers slet den manuelt.

Her er en ny log... Prøvede at fixe den du bad om men intet skete..


Hijack
Logfile of HijackThis v1.99.1
Scan saved at 20:09:09, on 21-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ismon.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
D:\Må ikke slettes\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

smitfraudfix

SmitFraudFix v2.62

Scan done at 11:00:47,23, 21-06-2006
Run from C:\Documents and Settings\Administrator\Skrivebord\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"



»»»»»»»»»»»»»»»»»»»»»»»» End

Awido

---------------------------------------------------------
ewido anti-malware - Scanningsrapport
---------------------------------------------------------

+ Oprettet den:            20:05:09, 21-06-2006
+ Rapport-Checksum:        F7F20DDC

+ Scanningsresultat:
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@adtech[2].txt -> TrackingCookie.Adtech : Renset med backup
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@doubleclick[1].txt -> TrackingCookie.Doubleclick : Renset med backup
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@mediaplex[1].txt -> TrackingCookie.Mediaplex : Renset med backup
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@serving-sys[2].txt -> TrackingCookie.Serving-sys : Renset med backup
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@stats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Renset med backup
    C:\Documents and Settings\Kim og Dorthe\Lokale indstillinger\Temp\NI.UWA6PK_0001_N73M1204\setup.exe -> Trojan.Fakealert : Renset med backup
    C:\Programmer\Media-Codec -> Trojan.Small : Renset med backup
    C:\Programmer\Media-Codec\uninst.exe -> Trojan.Small : Renset med backup
    C:\WINDOWS\Downloaded Program Files\UWA6PK_0001_N73M1204NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.f : Renset med backup
    C:\WINDOWS\Temp\NI.UWA6PK_0001_N73M1204\setup.exe -> Trojan.Fakealert : Renset med backup
    F:\eMule\eMule\Incoming\Uru - Ages Beyond Myst Crack - Keygen - Serial.zip/nocd_patch_crack.exe -> Adware.Stud : Renset med backup


::Rapport slut

Check at filen C:\WINDOWS\system32\ixt0.dll virkelig er væk bagefter - ellers slet den manuelt.

KAn ikke slette denne..Får at vide jeg skal lukke det program der bruger den...

Prøver med dr.delete

Hmm den blev ik fjernet... Venter blot på hjælp nu

Min Zonealarm kører ikke mere og jeg kan ikke starte den.....

Sorry, men har haft travlt..

Hent KillBox her:
http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Brugsanvisning kan du finde her:
http://www.fbeej.dk/KillBox2_manual.htm

Kør KillBox, sæt prik i "Delete on reboot". Kopier nedenstående linie(r) ind i tekstfeltet på Killbox og klik herefter på den røde knap med det hvide kryds. Programmet vil spørge om du vil genstarte - svar NEJ undtagen når du når til den sidste linie - der skal du svare JA, og din computer vil genstarte

C:\WINDOWS\system32\ixt0.dll

fix så denne i hijackthis :
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll

genstart og ny hijackthis log

Helt ok Arlet.. :-)

Når jeg vil fix denne du beder om sker der kun det at der kommer helt blank side og når jeg så hijack igen er den der stadig....


Logfile of HijackThis v1.99.1
Scan saved at 21:24:53, on 21-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ismon.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
D:\Må ikke slettes\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vi prøver lige en scanner..



Hent og installer denne scanner:
http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Start programmet, klik på Check for updates, når det er opdateret, luk programmet og genstart i fejlsikret(Du skal klikke på f8 tasten under genstarten (ca. lige når der er talt ram), og så vælge fejlsikret tilstand. Er du i tvivl, så klik bare på f8 flere gange.)

Start programmet, klik på Scan your Computer, sæt flueben i de drev der skal scannes.
(Fixed disk betyder harddisk)
Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.
Luk programmet.

Start SuperAntiSpyware igen, klik på Preferences, skift til fanebladet Statistics/Logs, i vinduet dobbeltklikker du på SUPERAntiSpyware Scan Log, den åbner i notesblok, kopier resultatet herind.

Genstart normalt og ny hijackthis log

Kan ikke køre den scan i fejlsikret... Der kommer en boks med denne tekst.

Der kunne ikke opnås adgang til tjenesten windows installer. Dette kan ske hvis du kører i fejlsikret tilstand, eller hvis windows installer er installeret forkert. Kontakt din supportafdeling for hjælp.

Da jeg ville opdattere scanneren fik jeg at vide den var up to date

OK, så kør den i almindelig mode

Der stod man skulle genstarte for at fjerne virus og sådan..Sagde enj da jeg jo lige skulle kopiere denne log ind.. Den fandt meget

SUPERAntiSpyware Scan Log
Generated 06/21/2006 at 10:16 PM

Core Rules Database Version : 2847
Trace Rules Database Version: 1028

Memory threats detected  : 1
Registry threats detected : 26
File threats detected    : 27

Trojan.SpyFalcon
    C:\WINDOWS\SYSTEM32\GUXXA.DLL
    C:\WINDOWS\SYSTEM32\GUXXA.DLL

Adware.Tracking Cookie
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@dk.winantivirus[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@cgi-bin[2].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@winantivirus[2].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@stats1.reliablestats[2].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@mediaplex[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@go.winantivirus[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@ex=1_[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@indexstats[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@atdmt[2].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@adtech[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@secure.winantivirus[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@serving-sys[2].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@www.winantivirus[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@hitbox[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@ehg-zoomerang.hitbox[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@doubleclick[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@microsoftwga.112.2o7[1].txt
    C:\Documents and Settings\Kim og Dorthe\Cookies\kim og dorthe@www.pesttrap[1].txt

Trojan.WinAntiSpyware/WinAntiVirus 2006
    HKCR\WAP6.PCheck
    HKCR\WAP6.PCheck\CLSID
    HKCR\WAP6.PCheck\CurVer
    HKCR\WAP6.PCheck.1
    HKCR\WAP6.PCheck.1\CLSID
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\Implemented Categories
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\InprocServer32
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\InprocServer32#ThreadingModel
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\ProgID
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\Programmable
    HKCR\CLSID\{B2A3156E-3332-4b47-AF5A-5B121503514F}\VersionIndependentProgID
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\0
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\0\win32
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\FLAGS
    HKCR\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\HELPDIR
    HKCR\Interface\{E18B69D0-7E9E-4C6E-BDD8-879A1FFF7123}
    HKCR\Interface\{E18B69D0-7E9E-4C6E-BDD8-879A1FFF7123}\ProxyStubClsid
    HKCR\Interface\{E18B69D0-7E9E-4C6E-BDD8-879A1FFF7123}\ProxyStubClsid32
    HKCR\Interface\{E18B69D0-7E9E-4C6E-BDD8-879A1FFF7123}\TypeLib
    HKCR\Interface\{E18B69D0-7E9E-4C6E-BDD8-879A1FFF7123}\TypeLib#Version
    HKU\S-1-5-21-436374069-630328440-682003330-1003\Software\WinAntiVirus Pro 2006
    C:\WINDOWS\system32\stera.job
    C:\Programmer\WinAntiVirus Pro 2006\history.db
    C:\Programmer\WinAntiVirus Pro 2006
    C:\Documents and Settings\Kim og Dorthe\Application Data\WinAntiVirus Pro 2006\Logs
    C:\Documents and Settings\Kim og Dorthe\Application Data\WinAntiVirus Pro 2006

Trojan.Security Toolbar
    C:\Documents and Settings\All Users\Menuen Start\Online Security Guide.url
    C:\Documents and Settings\All Users\Menuen Start\Security Troubleshooting.url
    C:\Documents and Settings\Kim og Dorthe\Foretrukne\Antivirus Test Online.url

Hijack log

Logfile of HijackThis v1.99.1
Scan saved at 22:35:49, on 21-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
D:\Må ikke slettes\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Kan stadig ikke få lov til at starte min zonealarm.  Den skriver at windows ikke kunne få adgang til den angivne enhed,sti eller fil.Du har muligvis ikke de nødvendige rettigheder til at få adgang til elementet.

Nå min zonealarm køerer igen... Jeg sidder her lidt endnu,men bliver snart nød til at gå i seng skal op kl 6.. Men ellers er jeg på igen kl 17 ca i morgen

Så er jeg her igen....

Må indrømme jeg er ved at være ret desperat.. Nu har den været inficeret siden den 20/6 og er det stadigvæk og sikkert mere endnu da den er sårbar...Spørgsmålet er om der ikke snart er tale om en formatering.. Er sq lidt bekymret

Er der ingen som kan hjælpe mig?

Ser tiden an til kl 20...Og så kigger jeg om der er kommet nogle forslag eller noget hjælp. ellers formaterer jeg den..

StandBy - <arlet> skal nok komme tilbage...

ok men er den ikke i stor risiko når der er virus på?

Vi kan da lige prøve at få den fil væk i mellemtiden.

Hent Unlocker, og installer programmet http://ccollomb.free.fr/unlocker/

Find denne fil C:\WINDOWS\system32\ixt0.dll

Find den manuelt, nede i System32. Højreklik på den, klik "Unlocker". Klik "Lås op". I menuen nederst ovre til venstre vælger du "Slet". Du vil muligvis blive bedt om at genstarte.

Prøv det, og så dukker Arlet forhåbentligt snart op igen.

ok det prøver jeg...Tak

Den ser ud til at være væk...Tak forevernewbie

Det var da godt :).

Imens du venter på arlet, så prøv at køre en scanning med denne scanner:

Hent denne scanner ned til skrivebordet ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Vent med at køre den.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Dobbeltklik på drweb-cureit.exe. Den vil køre en express scan, og det siger du ja til.

Når den skriver "Select object for scanning" nederst til venstre, skal du klikke på Options->Change settings.

Skift til fanebladet SCAN, og fjern fluebenet ved "Heuristic analysis".

Skift til fanebladet Actions. Under ADWARE indstiller du til DELETE. Alle andre punkter under MALWARE sættes til MOVE. Fjern fluebenet ved PROMPT ON ACTION. Klik ANVEND og OK.

Klik på de drev du vil have scannet. Der kommer en rød prik, som viser at de er valgt.

Klik på den grønne pil ovre til højre på siden, for at starte scanningen.


Når scanningen er færdig, så find mappen Dr Web som ligger på dit hoveddrev, typisk C drevet, og find CUREIT.LOG. Scroll helt ned i bunden af loggen, hvor der står SCAN PATH og SCAN STATISTICS (KUN de nederste) og kopier det her ind.

Og kom så lige med en frisk HijackThis til arlet.

Smider lige en ny hijack


Logfile of HijackThis v1.99.1
Scan saved at 21:21:04, on 22-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ok det prøver jeg..Tak

Så har jeg kørt den scan,men stoppede den efter c drevet..Det er jo der virus er..Ellers tager det timer og jeg skal op kl 6.. Her er så en ny hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:32:31, on 22-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Her er scan rapport
Scan path] C:\
C:\Documents and Settings\Administrator\NTUSER.DAT - read error
C:\Documents and Settings\Administrator\NTUSER~1.LOG - read error
C:\Documents and Settings\Administrator\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat - read error
C:\Documents and Settings\Administrator\Lokale indstillinger\Application Data\Microsoft\Windows\USRCLA~1.LOG - read error
C:\Documents and Settings\Administrator\Skrivebord\SmitfraudFix\Process.exe is hacktool program Tool.Prockill - moved
C:\Documents and Settings\NetworkService\NTUSER.DAT - read error
C:\Documents and Settings\NetworkService\NTUSER~1.LOG - read error
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat - read error
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\Windows\USRCLA~1.LOG - read error
>C:\Programmer\PornMag Pass\PornMagPass.exeC:\WINDOWS\system32\ismon.exe infected with Trojan.Popuper - deleted
C:\WINDOWS\system32\Process.exe is hacktool program Tool.Prockill - moved
>C:\WINDOWS\system32\components\flx3.dll infected with Trojan.DownLoader.10592 - deleted
>C:\WINDOWS\system32\components\flx6.dll infected with Trojan.DownLoader.10592 - deleted
>C:\WINDOWS\system32\components\flx8.dll infected with Trojan.DownLoader.10592 - deleted
C:\WINDOWS\system32\config\default - read error
C:\WINDOWS\system32\config\default.LOG - read error
C:\WINDOWS\system32\config\SAM - read error
C:\WINDOWS\system32\config\SAM.LOG - read error
C:\WINDOWS\system32\config\SECURITY - read error
C:\WINDOWS\system32\config\SECURITY.LOG - read error
C:\WINDOWS\system32\config\software - read error
C:\WINDOWS\system32\config\software.LOG - read error
C:\WINDOWS\system32\config\system - read error
C:\WINDOWS\system32\config\system.LOG - read error

[Scan path] D:\

Scan statistics

Objects scanned: 114556
Infected objects found: 4
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 2
Objects cured: 0
Objects deleted: 4
Objects renamed: 0
Objects moved: 2
Objects ignored: 0
Scan speed: 767 Kb/s
Scan time: 00:35:24


Scanning interrupted by user! - viruses found

Total session statistics

Objects scanned: 114831
Infected objects found: 4
Objects with modifications found: 0
Suspicious objects found: 1
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 2
Objects cured: 0
Objects deleted: 4
Objects renamed: 0
Objects moved: 2
Objects ignored: 0
Scan speed: 789 Kb/s
Scan time: 00:35:30

Kan se den spøger endnu den fil jeg skulle hijack tidligere og som jeg troede jeg fjernede med det program unlocker

Men hvis hele computeren skal scannes bliver det ikke før imorgen sidst på eftermiddagen.. Og så vil jeg være på i weekenden.

Den er godt nok genstridig.

Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

1. Pak Avenger-programmet ud og dobbeltklik på avenger.exe

2. Sæt en prik i "Input Script Manually" og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

-----------------------------

Files to delete:
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\issearch.exe

-----------------------------

3. Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

4. Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

Fix disse med Hijackthis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {7fcf04b6-6354-47ef-b45e-a48268e92757} - C:\WINDOWS\system32\ixt0.dll

Og scan endelig hele maskinen igennem med Dr Web

Det gør jeg..Den får lov til at scanne i nat, så ligger jeg en ny log inden jeg tager på arbejde... Ja den er ikke til at slippe af med..

er på igen efter kl 16.30 imorgen..Takker for hjælpen

Lad os nu se om ikke Avenger nupper den. Det tror jeg den gør. Jeg holder øje med tråden, og hopper ind igen, hvis ikke arlet er tilbage

Kom tl at lave en fejl efter genstart kom den med ms dos windows...Lukkede det hele og prøvede igen..Det sammeskete men lod den køre,så nu har jeg 2 logger...

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\olujfyvb

*******************

Script file located at: \??\C:\WINDOWS\osqdclaw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ujracchp

*******************


Fatal error:  integrity of Services key failed verification check!  Security may be fatally compromised.  Exiting immediately.

Could not open script file!  Status: 0xc0000034  Abort!



//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\olujfyvb

*******************

Script file located at: \??\C:\WINDOWS\osqdclaw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ujracchp

*******************


Fatal error:  integrity of Services key failed verification check!  Security may be fatally compromised.  Exiting immediately.

Could not open script file!  Status: 0xc0000034  Abort!

Ny hijack..

Logfile of HijackThis v1.99.1
Scan saved at 23:22:42, on 22-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

hmm den har ikke taget den R0-HKCU\software\Microsoft\Internet Explore\Main,Start....osv

Prøvede at hijack igen..Men den er der stadig...


Logfile of HijackThis v1.99.1
Scan saved at 23:30:22, on 22-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\imapi.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\Fælles filer\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\WgaTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Så nu vil jeg lade den scanne i nat og ligge en ny scan log samt hijack i morgen tidlig

Skidtfilerne blev ihverfald slettet, ser det ud til. Gå lige op i IE "Funktioner", og "nulstil webindstillinger", så burde du forhåbentligt kunne sætte din startside

Hvis den stadigvæk driller, så prøv lige dette:

Hent About:Buster på et af disse to links:

http://www.besttechie.net/tools/AboutBuster.zip

http://www.malwarebytes.org/AboutBuster.zip

Udpak, og kør About:Buster. Klik Begin removal, sig ja til at lukke dine browservinduer.

Når scanningen er færdig, klik OK, og luk programmet.

About:Buster laver en log, du skal kopiere her ind, sammen med din næste HijackThis log

Her er loggen fra scanningen...

[Scan path] D:\
D:\games\GTA3\audio\j4_f.wav infected with modification of V2Px.1190 - moved
D:\Sierra\Half-Life\hltv.exe is hacktool program Tool.ProxyHLTV - moved

[Scan path] E:\
[Scan path] F:\
F:\System Volume Information\_restore{F2543B15-F6F4-4B04-B6F3-1BB49CBCAFC8}\RP35\A0011830.exe infected with Trojan.MulDrop.323 - deleted


Scan statistics

Objects scanned: 210345
Infected objects found: 1
Objects with modifications found: 1
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 1
Objects cured: 0
Objects deleted: 1
Objects renamed: 0
Objects moved: 2
Objects ignored: 0
Scan speed: 444 Kb/s
Scan time: 01:36:29



Total session statistics

Objects scanned: 210616
Infected objects found: 1
Objects with modifications found: 1
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 1
Objects cured: 0
Objects deleted: 1
Objects renamed: 0
Objects moved: 2
Objects ignored: 0
Scan speed: 451 Kb/s
Scan time: 01:36:52

Hvor er IE ??

IE er en forkortelse for Internet Explorer

Nu bliver det spændende at se, om den efterhånden giver sig. Hvis ikke, så tror jeg måske det kunne være godt at få fixet denne nøgle i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{af3fd9a8-1287-4159-9212-9a5b4494af70}
(jvf. smitfraudfix-loggen) *S*

Hvis denne nøgle findes, bør den også slettes
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{af3fd9a8-1287-4159-9212-9a5b4494af70}

Nå, navnet på den første nøgle blev skåret væk. Her er den splittet op i to linier:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
SharedTaskScheduler\{af3fd9a8-1287-4159-9212-9a5b4494af70}

Eller endnu nemmere: Smitfraudfix er blevet opdateret siden den blev kørt sidst -- til at tage denne version af infektionen. Så hvis der stadig er problemer, så hent fixet igen, og kør det igen :-)

Kør About:Buster som beskrevet, og læg loggen her ind. Og kom så lige med en HijackThis log kørt i fejlsikret, og en kørt i normal tilstand.

Kom også med en log fra denne http://www.sitecenter.dk/secure/nss-folder/mappe/sys32.zip Udpak den på skrivebordet, og kør den.

OBS: Du skal IKKE kopiere hele loggen fra sys32 ind. Tjek datoerne ude til venstre, og gå ca en måned tilbage.

KAn ikke finde loggen fra about buster...

Nå...Jeg laver lige en hijack i fejlsikret..2 min

About Buster log:
(Kørte lige en ny)

AboutBuster 6.02
Scan started on [23-06-2006] at [16:14:50]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 16:15:45

Hijack i fejlsikret


Logfile of HijackThis v1.99.1
Scan saved at 16:35:15, on 23-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hijack normal

Logfile of HijackThis v1.99.1
Scan saved at 16:43:08, on 23-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Log sys 32

Disken i drev C har ikke noget navn.
Diskens serienummer er 88FE-CC28

Indhold af C:\WINDOWS\system32

23-06-2006  16:38            2.206 wpa.dbl
23-06-2006  16:37            48.877 vsconfig.xml
21-06-2006  10:13            4.212 zllictbl.dat
20-06-2006  20:42            6.596 jupdate-1.5.0_07-b03.log
20-06-2006  17:43                0 asfiles.txt
20-06-2006  17:36            2.550 Uninstall.ico
20-06-2006  17:36            1.406 Help.ico
20-06-2006  17:36            30.590 pavas.ico
20-06-2006  14:29            7.776 isnotify.exe
18-06-2006  17:54          394.872 vsdatant.sys
18-06-2006  17:54            71.672 zlcommdb.dll
18-06-2006  17:54            83.960 zlcomm.dll
18-06-2006  17:54            59.384 vswmi.dll
18-06-2006  17:54          100.344 vsxml.dll
18-06-2006  17:54          440.312 vsutil.dll
18-06-2006  17:54            71.672 vsregexp.dll
18-06-2006  17:54          268.280 vspubapi.dll
18-06-2006  17:54          157.688 vsinit.dll
18-06-2006  17:54          104.440 vsmonapi.dll
18-06-2006  17:54            83.960 vsdata.dll
14-06-2006  13:43            98.304 CmdLineExt.dll
11-06-2006  13:41          796.584 libeay32_0.9.6l.dll
03-06-2006  22:19            34.064 lhacm.acm
02-06-2006  19:08            1.503 lvcoinst.log
01-06-2006  20:48          163.840 jgdw400.dll
01-06-2006  20:48            27.648 jgpl400.dll
29-05-2006  17:30        1.494.016 shdocvw.dll
19-05-2006  17:10        3.073.536 mshtml.dll

Hvordan nulstiller jeg webstillinger?
Går i funktioner og indstillinger og hvad så?? HAr ikke noget der hedder nulstil..Har slettet alt derinde og sat den til blank side og også prøvet standard..

Bingo. Du skal lige køre Avenger igen. Brug bare den du hentede:


Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

1. Pak Avenger-programmet ud og dobbeltklik på avenger.exe

2. Sæt en prik i "Input Script Manually" og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

-----------------------------

Files to delete:
C:\WINDOWS\system32\isnotify.exe


-----------------------------

3. Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

4. Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

Kør HijackThis, og fix denne:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank


Kør HijackThis i fejlsikret, og fix denne:

R3 - Default URLSearchHook is missing


Hent ATF Cleaner her fra http://www.atribune.org/content/view/19/2/

Start ATF Cleaner. Sæt flueben i "Select all" (du kan undlade cookies, hvis du vil). Klik "Empty selected".


Pyt med de webindstillinger. Prøv nu at se om du kan sætte din egen startside normalt.


Ny HijackThis fra normal tilstand, tak.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vimuivtl

*******************

Script file located at: \??\C:\egpmobds.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\isnotify.exe deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Ny hijack

Logfile of HijackThis v1.99.1
Scan saved at 17:48:24, on 23-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

30 point er vist lige i underkanten..Kan jeg ændre det??

Pyt med pointene *S*.

Men det var dog utroligt med den startside.

Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip

Kør programmet, klik på fanebladet "Rootkit", og klik på "Scan". Når scanningen er færdig, skal du klikke på "Copy". Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Lad os også lige prøve Ejvinds forslag, om at køre det opdaterede Smitfraud fix:

Hent S!Ri's SmitfraudFix.zip og pak det ud til dit Skrivebord.
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.

-- Hent Ewido herfra (14 dages version af plus-versionen)
http://www.spywarefri.dk/downloads1/ewido-setup.exe
Installer og opdater programmet, men vent med at scanne.

-- Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

-- Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Det vil også checke om systemfilen wininet.dll er inficeret. Hvis den er det, vil du blive bedt om tilladelse til at erstatte den med en anden. Her skal du vælge "Yes", ved at taste "y".

Programmet bliver muligvis nødt til at genstarte undervejs. Herefter vil der dukke en liste med resultaterne af rensningen op . Kopiér denne liste ind i tråden.

-- Kør en fuld scanning med Ewido, og tillad programmet at fixe de ting, som det finder. Programmet laver en lille log, som du skal kopiere herind.

-- Genstart og læg en frisk Hijackthislog herind, sammen med loggen fra Ewido og loggen fra SmitfraudFix (C:\rapport.txt).

NB: Filen "process.exe" som ligger i dette værktøj bliver af visse antivirus-programmer identificeret som "RiskTool". Det har dog ikke noget på sig!



Prøv også lige at reparere Internet Explorer med dette program http://windowsxp.mvps.org/IEFIX.htm Din Windows CD skal sidde i drevet når du kører det, så den kan hente filer fra den. Hvis du ikke har en Windows CD, så lad programmet hente filerne her fra:

C:\Windows\ServicePackFiles\i386

Spring bare Ewido over.

Skulle lige til at skrive min startside stadig var den underlige selvom jeg havde ændret den

Ok *S*. Prøv lige det sidste jeg foreslog. Der er stadigvæk flere værktøjer og muligheder for at finde grunden

Øhh der kom ikke et vindue op..Med at root scanningen er blevet lagt i udklipsholderen
Prøver lige igen

Ups glemte jo og trykke copy...Husker jeg denne gang

Den kommer med en Warning der siger: Gmer has found system modification caused by ROOTKIT Activity... Skal jeg bare sige ok???

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-06-23 19:06:27
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwConnectPort                            <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateFile                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateKey                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreatePort                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateProcess                          <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateProcessEx                        <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateSection                          <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwCreateWaitablePort                      <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwDeleteFile                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwDeleteKey                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwDeleteValueKey                          <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwDuplicateObject                        <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwLoadKey                                <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwMapViewOfSection                        <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwOpenFile                                <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwOpenProcess                            <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwOpenThread                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwReplaceKey                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwRequestWaitReplyPort                    <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwRestoreKey                              <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwSecureConnectPort                      <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwSetInformationFile                      <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwSetSystemInformation                    <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwSetValueKey                            <-- ROOTKIT !!!
SSDT      \SystemRoot\System32\vsdatant.sys                                                                                                ZwTerminateProcess                        <-- ROOTKIT !!!

INT 0x00  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DF350
INT 0x01  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DF4CB
INT 0x03  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DF89D
INT 0x04  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DFA20
INT 0x05  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DFB81
INT 0x06  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DFD02
INT 0x07  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E036A
INT 0x09  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E078F
INT 0x0A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E08AC
INT 0x0B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E09E9
INT 0x0C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E0C42
INT 0x0D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E0F38
INT 0x0E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E164F
INT 0x0F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x10  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E1A99
INT 0x11  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E1BCE
INT 0x12  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x13  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E1D34
INT 0x14  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x15  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x16  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x17  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x18  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x19  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x1F  \WINDOWS\system32\hal.dll                                                                                                        806EDFD0
INT 0x2A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DEB92
INT 0x2B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DEC95
INT 0x2C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DEE34
INT 0x2D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DF77C
INT 0x2E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE631
INT 0x2F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804E197C
INT 0x30  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDCF0
INT 0x31  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDCFA
INT 0x32  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD04
INT 0x33  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD0E
INT 0x34  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD18
INT 0x35  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD22
INT 0x36  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD2C
INT 0x37  \WINDOWS\system32\hal.dll                                                                                                        806ED728
INT 0x38  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD40
INT 0x39  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD4A
INT 0x3A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD54
INT 0x3B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD5E
INT 0x3C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD68
INT 0x3D  \WINDOWS\system32\hal.dll                                                                                                        806EEB70
INT 0x3E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD7C
INT 0x3F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD86
INT 0x40  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDD90
INT 0x41  \WINDOWS\system32\hal.dll                                                                                                        806EE9CC
INT 0x42  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDA4
INT 0x43  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDAE
INT 0x44  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDB8
INT 0x45  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDC2
INT 0x46  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDCC
INT 0x47  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDD6
INT 0x48  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDE0
INT 0x49  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDEA
INT 0x4A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDF4
INT 0x4B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDDFE
INT 0x4C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE08
INT 0x4D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE12
INT 0x4E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE1C
INT 0x4F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE26
INT 0x50  \WINDOWS\system32\hal.dll                                                                                                        806ED800
INT 0x51  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE3A
INT 0x52  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE44
INT 0x53  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE4E
INT 0x54  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE58
INT 0x55  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE62
INT 0x56  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE6C
INT 0x57  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE76
INT 0x58  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE80
INT 0x59  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE8A
INT 0x5A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE94
INT 0x5B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDE9E
INT 0x5C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEA8
INT 0x5D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEB2
INT 0x5E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEBC
INT 0x5F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEC6
INT 0x60  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDED0
INT 0x61  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEDA
INT 0x64  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDEF8
INT 0x65  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF02
INT 0x66  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF0C
INT 0x67  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF16
INT 0x68  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF20
INT 0x69  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF2A
INT 0x6A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF34
INT 0x6B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF3E
INT 0x6C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF48
INT 0x6D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF52
INT 0x6E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF5C
INT 0x6F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF66
INT 0x70  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF70
INT 0x71  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF7A
INT 0x72  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF84
INT 0x74  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDF98
INT 0x75  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFA2
INT 0x76  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFAC
INT 0x77  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFB6
INT 0x78  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFC0
INT 0x79  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFCA
INT 0x7A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFD4
INT 0x7B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFDE
INT 0x7C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFE8
INT 0x7D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFF2
INT 0x7E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DDFFC
INT 0x7F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE006
INT 0x80  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE010
INT 0x81  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE01A
INT 0x84  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE038
INT 0x85  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE042
INT 0x86  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE04C
INT 0x87  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE056
INT 0x88  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE060
INT 0x89  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE06A
INT 0x8A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE074
INT 0x8B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE07E
INT 0x8C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE088
INT 0x8D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE092
INT 0x8E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE09C
INT 0x8F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0A6
INT 0x90  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0B0
INT 0x91  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0BA
INT 0x95  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0E2
INT 0x96  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0EC
INT 0x97  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE0F6
INT 0x98  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE100
INT 0x99  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE10A
INT 0x9A  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE114
INT 0x9B  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE11E
INT 0x9C  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE128
INT 0x9D  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE132
INT 0x9E  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE13C
INT 0x9F  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE146
INT 0xA0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE150
INT 0xA1  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE15A
INT 0xA2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE164
INT 0xA3  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE16E
INT 0xA5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE182
INT 0xA6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE18C
INT 0xA7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE196
INT 0xA8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1A0
INT 0xA9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1AA
INT 0xAA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1B4
INT 0xAB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1BE
INT 0xAC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1C8
INT 0xAD  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1D2
INT 0xAE  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1DC
INT 0xAF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1E6
INT 0xB0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE1F0
INT 0xB2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE204
INT 0xB3  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE20E
INT 0xB5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE222
INT 0xB6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE22C
INT 0xB7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE236
INT 0xB8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE240
INT 0xB9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE24A
INT 0xBA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE254
INT 0xBB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE25E
INT 0xBC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE268
INT 0xBD  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE272
INT 0xBE  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE27C
INT 0xBF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE286
INT 0xC0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE290
INT 0xC1  \WINDOWS\system32\hal.dll                                                                                                        806ED984
INT 0xC2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2A4
INT 0xC3  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2AE
INT 0xC4  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2B8
INT 0xC5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2C2
INT 0xC6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2CC
INT 0xC7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2D6
INT 0xC8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2E0
INT 0xC9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2EA
INT 0xCA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2F4
INT 0xCB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE2FE
INT 0xCC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE308
INT 0xCD  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE312
INT 0xCE  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE31C
INT 0xCF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE326
INT 0xD0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE330
INT 0xD1  \WINDOWS\system32\hal.dll                                                                                                        806ECD34
INT 0xD2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE344
INT 0xD3  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE34E
INT 0xD4  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE358
INT 0xD5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE362
INT 0xD6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE36C
INT 0xD7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE376
INT 0xD8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE380
INT 0xD9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE38A
INT 0xDA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE394
INT 0xDB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE39E
INT 0xDC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3A8
INT 0xDD  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3B2
INT 0xDE  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3BC
INT 0xDF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3C6
INT 0xE0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3D0
INT 0xE1  \WINDOWS\system32\hal.dll                                                                                                        806EDF0C
INT 0xE2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3E4
INT 0xE3  \WINDOWS\system32\hal.dll                                                                                                        806EDC70
INT 0xE4  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE3F8
INT 0xE5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE402
INT 0xE6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE40C
INT 0xE7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE416
INT 0xE8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE420
INT 0xE9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE42A
INT 0xEA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE434
INT 0xEB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE43E
INT 0xEC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE448
INT 0xED  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE452
INT 0xEE  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE459
INT 0xEF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE460
INT 0xF0  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE467
INT 0xF1  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE46E
INT 0xF2  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE475
INT 0xF3  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE47C
INT 0xF4  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE483
INT 0xF5  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE48A
INT 0xF6  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE491
INT 0xF7  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE498
INT 0xF8  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE49F
INT 0xF9  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE4A6
INT 0xFA  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE4AD
INT 0xFB  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE4B4
INT 0xFC  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE4BB
INT 0xFD  \WINDOWS\system32\hal.dll                                                                                                        806EE464
INT 0xFE  \WINDOWS\system32\hal.dll                                                                                                        806EE604
INT 0xFF  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE4D0

SYSENTER  \WINDOWS\system32\ntoskrnl.exe                                                                                                  804DE6F0

---- Devices - GMER 1.0.10 ----

Device    \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE                                                                                            [F83DAE37] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE                                                                                  [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSEIRP_MJ_READ                                                                                  [F83DA320] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE                                                                                              [F83B7EE4] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION                                                                                  [F83B6BCA] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION                                                                                    [F83DB4D1] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA                                                                                          [F83B8A58] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA                                                                                            [F83DB4D1] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS                                                                                      [F83DB4D1] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION                                                                          [F83E0A68] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION                                                                            [F83DB61C] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL                                                                                  [F83DB61C] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL                                                                                [F83DD2C3] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL                                                                                    [F83E26D5] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                            [F83DB61C] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN                                                                                          [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL                                                                                      [F83C9621] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP                                                                                            [F842EB11] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT                                                                                    [F83DACEE] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY                                                                                    [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY                                                                                      [F83DB61C] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_POWER                                                                                              [F83DB61C] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL                                                                                    [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE                                                                                      [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA                                                                                        [805031BE] ntoskrnl.exe
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA                                                                                          [F83DB4D1] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_PNP                                                                                                [F83DB4D1] Ntfs.sys
Device    \FileSystem\Ntfs \Ntfs IRP_MJ_PNP_POWER                                                                                          [F83F9F3F] Ntfs.sys
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE                                                                                      [BAC3BC8A] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_NAMED_PIPE                                                                          [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSEIRP_MJ_READ                                                                            [BAC387C8] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE                                                                                      [BAC3460A] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION                                                                          [BAC34AED] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION                                                                            [BAC3F958] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA                                                                                    [BAC42821] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA                                                                                      [BAC4B38A] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS                                                                              [BAC4AD49] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION                                                                    [BAC44BBE] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION                                                                      [BAC45331] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL                                                                          [BAC534F4] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL                                                                        [BAC3BB37] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL                                                                              [BAC37948] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                    [BAC4146B] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN                                                                                    [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL                                                                                [BAC5279D] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP                                                                                    [BAC51C4A] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE_MAILSLOT                                                                            [BAC382FD] Fastfat.SYS
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_SECURITY                                                                              [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_SECURITY                                                                                [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_POWER                                                                                      [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SYSTEM_CONTROL                                                                              [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CHANGE                                                                              [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_QUOTA                                                                                [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_QUOTA                                                                                  [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP                                                                                        [805031BE] ntoskrnl.exe
Device    \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP_POWER                                                                                  [BAC521DB] Fastfat.SYS
Device    \FileSystem\Mup \Dfs IRP_MJ_CREATE                                                                                              [F8372A80] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_CREATE_NAMED_PIPE                                                                                    [F8372A80] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_CLOSEIRP_MJ_READ                                                                                    [F8377A76] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_WRITE                                                                                                [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_QUERY_INFORMATION                                                                                    [F8374159] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SET_INFORMATION                                                                                      [F837FB88] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_QUERY_EA                                                                                            [F837FDF2] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SET_EA                                                                                              [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_FLUSH_BUFFERS                                                                                        [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_QUERY_VOLUME_INFORMATION                                                                            [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SET_VOLUME_INFORMATION                                                                              [F8384492] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_DIRECTORY_CONTROL                                                                                    [F8384585] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_FILE_SYSTEM_CONTROL                                                                                  [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CONTROL                                                                                      [F83775D2] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                              [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SHUTDOWN                                                                                            [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_LOCK_CONTROL                                                                                        [F837F33D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_CLEANUP                                                                                              [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_CREATE_MAILSLOT                                                                                      [F8377AB9] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_QUERY_SECURITY                                                                                      [F8372A80] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SET_SECURITY                                                                                        [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_POWER                                                                                                [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SYSTEM_CONTROL                                                                                      [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_DEVICE_CHANGE                                                                                        [F836E35A] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_QUERY_QUOTA                                                                                          [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_SET_QUOTA                                                                                            [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_PNP                                                                                                  [F836F52D] Mup.sys
Device    \FileSystem\Mup \Dfs IRP_MJ_PNP_POWER                                                                                            [F836F52D] Mup.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_CREATE                                                                                          [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_NAMED_PIPE                                                                              [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_CLOSEIRP_MJ_READ                                                                                [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_WRITE                                                                                          [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_INFORMATION                                                                              [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SET_INFORMATION                                                                                [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_EA                                                                                        [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SET_EA                                                                                          [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_FLUSH_BUFFERS                                                                                  [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_VOLUME_INFORMATION                                                                        [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SET_VOLUME_INFORMATION                                                                          [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_DIRECTORY_CONTROL                                                                              [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_FILE_SYSTEM_CONTROL                                                                            [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CONTROL                                                                                  [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                        [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SHUTDOWN                                                                                        [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_LOCK_CONTROL                                                                                    [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_CLEANUP                                                                                        [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_CREATE_MAILSLOT                                                                                [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_SECURITY                                                                                  [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SET_SECURITY                                                                                    [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_POWER                                                                                          [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SYSTEM_CONTROL                                                                                  [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_DEVICE_CHANGE                                                                                  [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_QUERY_QUOTA                                                                                    [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_SET_QUOTA                                                                                      [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_PNP                                                                                            [F8390982] NDIS.sys
Device    \Driver\NDIS \Device\Ndis IRP_MJ_PNP_POWER                                                                                      [F8390982] NDIS.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE                                                                                      [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE_NAMED_PIPE                                                                          [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_CLOSEIRP_MJ_READ                                                                            [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_WRITE                                                                                      [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_INFORMATION                                                                          [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_INFORMATION                                                                            [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_EA                                                                                    [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_EA                                                                                      [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_FLUSH_BUFFERS                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_VOLUME_INFORMATION                                                                    [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_VOLUME_INFORMATION                                                                      [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_DIRECTORY_CONTROL                                                                          [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_FILE_SYSTEM_CONTROL                                                                        [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_DEVICE_CONTROL                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                    [F8448D62] KSecDD.sys
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SHUTDOWN                                                                                    [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_LOCK_CONTROL                                                                                [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_CLEANUP                                                                                    [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_CREATE_MAILSLOT                                                                            [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_SECURITY                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_SECURITY                                                                                [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_POWER                                                                                      [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SYSTEM_CONTROL                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_DEVICE_CHANGE                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_QUERY_QUOTA                                                                                [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_SET_QUOTA                                                                                  [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_PNP                                                                                        [805031BE] ntoskrnl.exe
Device    \Driver\KSecDD \Device\KsecDD IRP_MJ_PNP_POWER                                                                                  [805031BE] ntoskrnl.exe
Device    \Device\00000019                                                                                                               
Device    \Device\00000025                                                                                                               
Device    \Device\00000032                                                                                                               
Device    \Driver\Beep \Device\Beep IRP_MJ_CREATE                                                                                          [F8A6946A] Beep.SYS
Device    \Driver\Beep \Device\Beep IRP_MJ_CREATE_NAMED_PIPE                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_CLOSEIRP_MJ_READ                                                                                [F8A694B8] Beep.SYS
Device    \Driver\Beep \Device\Beep IRP_MJ_WRITE                                                                                          [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_QUERY_INFORMATION                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_SET_INFORMATION                                                                                [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_QUERY_EA                                                                                        [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_SET_EA                                                                                          [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_FLUSH_BUFFERS                                                                                  [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_QUERY_VOLUME_INFORMATION                                                                        [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_SET_VOLUME_INFORMATION                                                                          [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_DIRECTORY_CONTROL                                                                              [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_FILE_SYSTEM_CONTROL                                                                            [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_DEVICE_CONTROL                                                                                  [805031BE] ntoskrnl.exe
Device    \Driver\Beep \Device\Beep IRP_MJ_INTERNAL_DEVICE_CONTROL                                                                        [F8A69400] Beep.SYS
Device    \Driver\Beep \Device\Beep IRP_MJ_SHUTDOWN                         

Ja, gør bare det, og lad den scanne

Sagde ok..Går vidre med det andet og vender straks tilbage

Nåå den er ikke færdig med at scanne...

Ingen rootkit. Det er en Zonealarm den finder. Fortsæt bare vejledningen jeg lagde 23/06-2006 18:10:25

GMER 1.0.10.10122 - http://www.gmer.net
Rootkit 2006-06-23 19:56:45
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.10 ----

SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwConnectPort
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateFile
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreatePort
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateProcess
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateProcessEx
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateSection
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwCreateWaitablePort
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwDeleteFile
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwDeleteKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwDeleteValueKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwDuplicateObject
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwLoadKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwMapViewOfSection
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwOpenFile
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwOpenProcess
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwOpenThread
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwReplaceKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwRequestWaitReplyPort
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwRestoreKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwSecureConnectPort
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwSetInformationFile
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwSetSystemInformation
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwSetValueKey
SSDT    \SystemRoot\System32\vsdatant.sys                                            ZwTerminateProcess

---- Devices - GMER 1.0.10 ----

Device  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE                                      [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Ip IRP_MJ_CLOSEIRP_MJ_READ                            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                      [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Ip IRP_MJ_SHUTDOWN                                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Ip IRP_MJ_CREATE_MAILSLOT                              [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE                                      [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSEIRP_MJ_READ                            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_SHUTDOWN                                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE_MAILSLOT                            [BAF32A80] vsdatant.sys
Device  \Driver\Cdrom \Device\CdRom0 IRP_MJ_WRITE                                    819C2D98
Device  \Driver\Cdrom \Device\CdRom1 IRP_MJ_WRITE                                    819C2D98
Device  \Driver\Cdrom \Device\CdRom2 IRP_MJ_WRITE                                    819C2D98
Device  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE                                      [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_CLOSEIRP_MJ_READ                            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_SHUTDOWN                                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_CREATE_MAILSLOT                            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE                                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSEIRP_MJ_READ                          [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                  [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_SHUTDOWN                                  [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE_MAILSLOT                          [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE                              [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSEIRP_MJ_READ                    [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_SHUTDOWN                            [BAF32A80] vsdatant.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE_MAILSLOT                    [BAF32A80] vsdatant.sys

---- Files - GMER 1.0.10 ----

File    C:\System Volume Information\MountPointManagerRemoteDatabase               
File    C:\System Volume Information\tracking.log                                   
File    D:\System Volume Information\MountPointManagerRemoteDatabase               
File    D:\System Volume Information\tracking.log                                   
File    D:\System Volume Information\_restore{1E235120-4A63-40C8-A824-28D4B3FC0B7D} 
File    D:\System Volume Information\_restore{4C4AF2EF-0F5C-40C7-8E57-2C908B10B4B5} 
File    D:\System Volume Information\_restore{4D029530-D250-49DA-86B8-881A88753A76} 
File    D:\System Volume Information\_restore{A051ACFC-2CCC-4969-9366-881E74CFC412} 
File    D:\System Volume Information\_restore{DAB56734-C5F1-4054-BE0B-0FA5546FA372} 
File    D:\System Volume Information\_restore{F2543B15-F6F4-4B04-B6F3-1BB49CBCAFC8} 
File    E:\System Volume Information\MountPointManagerRemoteDatabase               
File    E:\System Volume Information\tracking.log                                   
File    E:\System Volume Information\_restore{1E235120-4A63-40C8-A824-28D4B3FC0B7D} 
File    E:\System Volume Information\_restore{4C4AF2EF-0F5C-40C7-8E57-2C908B10B4B5} 
File    E:\System Volume Information\_restore{DAB56734-C5F1-4054-BE0B-0FA5546FA372} 
File    E:\System Volume Information\_restore{F2543B15-F6F4-4B04-B6F3-1BB49CBCAFC8} 
File    F:\2420086c1c915ebcebee27abfd\sp2gdr\msmsgs.exe                             
File    F:\2420086c1c915ebcebee27abfd\sp2qfe\msmsgs.exe                             
File    F:\2420086c1c915ebcebee27abfd\update\branches.inf                           
File    F:\2420086c1c915ebcebee27abfd\update\KB887472.CAT                           
File    F:\2420086c1c915ebcebee27abfd\update\spcustom.dll                           
File    F:\2420086c1c915ebcebee27abfd\update\update.exe                             
File    F:\2420086c1c915ebcebee27abfd\update\update.ver                             
File    F:\2420086c1c915ebcebee27abfd\update\updatebr.inf                           
File    F:\2420086c1c915ebcebee27abfd\update\update_SP2GDR.inf                     
File    F:\2420086c1c915ebcebee27abfd\update\update_SP2QFE.inf                     
File    F:\System Volume Information\MountPointManagerRemoteDatabase               
File    F:\System Volume Information\tracking.log                                   
File    F:\System Volume Information\_restore{1E235120-4A63-40C8-A824-28D4B3FC0B7D} 
File    F:\System Volume Information\_restore{4C4AF2EF-0F5C-40C7-8E57-2C908B10B4B5} 
File    F:\System Volume Information\_restore{A051ACFC-2CCC-4969-9366-881E74CFC412} 
File    F:\System Volume Information\_restore{DAB56734-C5F1-4054-BE0B-0FA5546FA372} 
File    F:\System Volume Information\_restore{F2543B15-F6F4-4B04-B6F3-1BB49CBCAFC8} 

---- EOF - GMER 1.0.10 ----

SmitFraudFix v2.64

Scan done at 20:04:06,93, 23-06-2006
Run from C:\Documents and Settings\Kim og Dorthe\Skrivebord\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hijack log

Logfile of HijackThis v1.99.1
Scan saved at 20:08:09, on 23-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\ewido\security suite\ewidoctrl.exe
C:\Programmer\ewido\security suite\ewidoguard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\imapi.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe
C:\WINDOWS\system32\WgaTray.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmer\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmer\ewido\security suite\ewidoguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Prøver at reparere min IE...

Det hjalp ikke med mindre man skal genstarte efter rep... Det prøver jeg lige og vender tilbage

Det hjalp ikke..Tog filerne fra C\windows\servicepackfiles...osv.. Prøver lige fra cd også..

Det hjalp heller ikke..Den starter med About:blank

Nu er min zonealarm der heller ikke...og je kan ikke starte den

Er vi ikke snart der hvor den bare skal formateres?

Har lige prøvet at installere IE fra Min cdrom men det hjalp heller ikke....

Nej, ikke endnu. Aktiver Windows firewall, og afinstaller Zonealarm. Du skal have en anden version, fordi den version du har laver ballade. Den tager vi lige til sidst.

Når du har fjernet Zonealarm, så gør lige dette:

Kopier nedenstående IMELLEM de stiplede linier, ind i notesblok. I fanebladet Filer, klik "Gem som". I Filtype vælger du "alle filer". Giv filen navnet eco.reg

Når eco.reg ligger på dit skrivebord, dobbeltklikker du den, og siger ja til regeditor.


-----------------------------------------------------------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af3fd9a8-1287-4159-9212-9a5b4494af70}"="ecosystems"=-

-----------------------------------------------------------------

Så er den ihvertfald væk.

Vend tilbage når du har gjort det.

Btw, hent og kør også dette regfix http://windowsxp.mvps.org/reg/IE_reset_restrictions.reg

Klik ja til regeditor, og genstart maskinen. Prøv så at sætte din startside igen.

Kør også dette på samme måde http://www.kellys-korner-xp.com/regs_edits/RestoreSearch2.REG

Så er det gjort

Så kan jeg sætte min startside igen..Phyha sikken en omgang.. Skal du have en hijack eller er jeg clean nu??

Jeg har aldrig haft problemer med Zonealarm før..Hvad jeg ved af..Har kørt med Avg antivirus og Zonealarm længe

Hej alle sammen.

Jeg beklager rigtig meget, men jeg har ikke internet derhjemme lige pt. så er meget glad for at forevernewbie har overtaget..

Hej Arlet.. Kunne heller ikke forstå du ikke kom på..Du plejer altid at være behjælpsom. Er også glad for at forevernewbie er her ;-)

Ja, lad mig lige se en sidste log, men du burde være clean nu.

Ang Zonealarm, så har den nyeste version nogle problemer med nogle brugerrettigheder, og stopper derfor nogle gange. Derfor afinstaller den du har, genstart, og installer denne version istedet. Nyeste version fra marts måned, som ikke har problemet  http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_61_744_000_en.exe

Arlet, helt ok. Vi plejer jo at kunne hjælpe hinanden *S*

Logfile of HijackThis v1.99.1
Scan saved at 21:08:58, on 23-06-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmer\Logitech\Video\LogiTray.exe
C:\Programmer\D-Tools\daemon.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
F:\Clone cd\CloneCDTray.exe
C:\Programmer\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmer\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Kim og Dorthe\Skrivebord\hijackthis.exe
C:\Programmer\Fælles filer\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe
C:\Programmer\ATI Technologies\ATI.ACE\cli.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://svcs.microsoft.com/svcs/mms/serverstatus.asp?Plcid=0406&Version=4.7&CLCID=0406&BrandID=WindowsMessenger&Country=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmer\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmer\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [ATICCC] "C:\Programmer\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] f:\Clone cd\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "f:\Clone cd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmer\Fælles filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmer\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmer\Fælles filer\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmer\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146820243875
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Og så takker jeg en million gange...Point kunne godt være meget større,men skal tænke på det næste gang..

Kunne godt tænke mig at lære lidt af det her med at rense og hijack..
Er det svært eller findes der nogle gode kursus i det?

Hmm kan ikke installere det du sendte..Der mangler en zpy.dll

Ren og fin. Disse to er en virkning af regfixene, så dem kan du fixe med HijackThis:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Efter et virus/spyware angreb, er det altid en god ide at rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.

Link til sikring af din computer http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

vsmon.exe komponenten blev ikke fundet skriver den når jeg vil installere zonealarm

Det er vigtigt at du afinstallerer den gamle Zonealarm først, og genstarter, inden du installerer den nye. Inden du installerer den nye, så tjek at disse filer er væk. Skriv dem ind i Start/Søg, og skriv det nøjagtigt på den måde som der står her, og slet dem der måtte være til stede. Nogle af dem skal måske slettes i fejlsikret tilstand:

vsconfig.xml
vsdata.dll
vsdata95.vxd
vsdatant.sys
vsmon.*
vsmonapi.dll
vsnetutils.dll
vspubapi.dll
zaplus.*
zapro.*
zllictbl.dat
zlparser.dll
zonealarm.exe
zoneband.dll

Det tid at lære at løse logs. Ejvindh har lavet en fin introduktion til det her http://www.eksperten.dk/artikler/642

setup is unable to log into TrueVector service. Install cannot continue without logging into TrueVector service.

Please use the service manager to shut down the TrueVector service and then restart the installer program...

Hvad menes der??

ok Takker for hjælpen endnu engang her på eksperten..

Den første fil ligger i system32 mappen..Kan den slettes?

Velbekomme :)

Ja, slet bare de filer du finder ved den søgning

Den zonealarm du sendte..Den sletter jeg bare...Den laver fejlmeddelelse igen og igen...TrueVector

Flere har nu fået løst deres problem med Zonealarm, ved at installere den version jeg linker til. Det er bare et spørgsmål om at få fjernet problemerne fra den nye version du har problemer med.

Prøv dette:


LUK Zonealarm. Afinstaller den, og genstart når du bliver bedt om det.


For at kunne se alle filer og mapper, gør du dette http://www.spywareinfo.dk/#/tip-og-tricks/mappeindstillinger.htm

Så gør du dette:

Klik på "Start" - Vælg "Søg".
Klik på linket "Skift indstillinger".
Klik på "Skift søgefunktioner for filer og mapper"
Sæt prik i "Avanceret" og klik OK.
Klik på "Alle filer og mapper"
Klik på "Flere avancerede indstillinger"
Sæt flueben i de tre øverste.


Gå så i Start/Kør, skriv devmgmt.msc og klik ok. Gå op i "vis", og klik "vis skjulte enheder". Udvid (klik på krydset) "ikke plug and play drivere". Find VSDATANT (hvis den er der), højreklik på den, og klik "fjern". Klik "anvend" og "ok" hele vejen ud.


Gå så i Start/Kør, og søg på ordene zonelabs - zone labs - Internet logs og slet de filer og mapper du finder.


Søg derefter på disse filer, og slet dem hvis de findes. Det skal gøres i fejlsikret tilstand.


vsconfig.xml
vsdata.dll
vsdata95.vxd
vsdatant.sys
vsmon.*
vsmonapi.dll
vsnetutils.dll
vspubapi.dll
zaplus.*
zapro.*
zllictbl.dat
zlparser.dll
zonealarm.exe
zoneband.dll
vsutil.dll <- OBS. Højreklik på den, klik "egenskaber" og vær sikker på det er en Zonealarm fil.


Nu skal du i registreringsdatabasen. Vejledning her http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=3441

Husk backup.


Du skal klikke dig frem til denne nøgle:

HKEY_LOCAL_MACHINE\SOFTWARE\Zone Labs

Højreklik på nøglen Zone Labs, og slet den. Hvis den ikke vil slettes, så højreklik igen, vælg tilladelser, og tag fuld kontrol over den.

Luk pænt i regedit.


Slet nu denne fil-> zllictbl.dat


Genstart maskinen, og prøv at installere den Zonealarm jeg linker til. Hent en frisk http://download.zonelabs.com/bin/free/1012_zl/zlsSetup_61_744_000_en.exe Husk at vælge en nyinstallation, og IKKE en upgrade.


Så håber vi det virker.

Det prøver jeg...

Øhh den fil der hedder zllictbl.dat slettede jeg sammen med nogle af de andre.. inden regedit..Skulle jeg kigge efter den igen?? Det gjorde jeg ikke..Havde ikke lige set det...Har genstartet

Det går nok

Det hjalp tak for hjælpen..... Skal nok huske dig næste gang med point ;-)

Godt det kører igen :).

Bortset fra min media player...Den er væk

Hmm, jeg kan ikke lige få øje på, at det skulle være sket ved rensningen

Har fundet den og føjet en ny genvej til skrivebordet... Ved ikke hvorfor den forsvandt..