HJT-log og virus

øjeblik, jeg ser på det.

Læs alle punkterne inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent scannereren http://www.spywareinfo.dk/download/mwav.exe.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\gebyvvu.dll
O20 - Winlogon Notify: gebyvvu - C:\WINDOWS\SYSTEM32\gebyvvu.dll
O20 - Winlogon Notify: winbue32 - C:\WINDOWS\SYSTEM32\winbue32.dll

(4)
Åbn en tilfældig mappe, i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\system32\gebyvvu.dll
C:\WINDOWS\SYSTEM32\winbue32.dll

(5)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(6)
Kør scanneren mwav.exe, og sæt flueben i følgende: Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende: All local drives og Scan all files. Tryk på Scan Clean.
Scanningen kan godt tage nogen tid.

(7)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(8)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

levich > det er en haxdoor infektion og sandsynligvis også en l2m infektion, bare til info :)

Til lidt mere info ;) Ingen Haxdoor (synlig ihvertfald) ej heller l2m, men Vundo og Smitfraud.

Newbie> O20 - Winlogon Notify: winbue32 - C:\WINDOWS\SYSTEM32\winbue32.dll

en haxdoor linie, den kommer med xxxxx16, 32 og 64

Det kan også være du har ret, har ikke været på i lang tid :S

Fazli, du har ret i at den ligner, men jeg er ret sikker på at netop den der hører til smitfraud *S*

newbie > det for vi at se =) *tror nu på haxdoor*

lad os bare kigge med og se hvad der sker. *vi behøver ikke at spamme så meget ;)*

Netop, lad os droppe spammen. Hov, nu gjorde jeg der jo igen ;)

Min plan var et prøve med ovenstående vejledning. Hvis det ikke var nok, ville jeg prøve smitfraud-løsningen.

Imidlertid har jeg stor tiltro til forevernewbie, har haft ret mange gange før, så hvis min vejledning ikke lykkedes (dvs. hvis linjerne med filen C:\WINDOWS\system32\gebyvvu.dll stadig er at finde i hijackthis-loggen), så hente følge fil http://securityresponse.symantec.com/avcenter/FixVundo.exe. Slå systemgendannelse fra, genstart i fejlsikret tilstand, tag internetkablet ud af computer og kør filen FixVundo.exe. Genstart normalt, sat kablet i igen og lav en ny log til mig.

Det er ikke Haxdoor, men Mediaticket, der er i den O20-linie:
http://www.castlecops.com/o20list-167.html
Haxdoor har kun 4 tilfældige tegn (fx xxxx32.dll)

Levich: Symantec's vundofix plejer ikke at være særlig effektivt. Atribunes fix plejer at være bedre:
http://www.atribune.org/ccount/click.php?id=4
Bruges fx her: http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=27011#197093

Alternativt: SuperAntispyware

Tak for tilliden levich :)

1024 mappen som Avast finder, er et sikkert tegn på Smitfraud. Win***.dll ses ofte i Smitraud "pakken", men er der ikke altid. Mediaticket, eller måske en trojan downloader ;) http://www.sophos.com/virusinfo/analyses/trojbckdrdkg.html Anyway, skidtet skal jo bare væk ;)

Endnu et tegn på at jeg har været væk længe =)

ejvindh > det var nemlig det der undrede mig, at der kun er 4 tegn i haxdoor =)

Sorry, jeg har været væk så længe, men her er den nye HJT-log efter at have fulgt levich's guide:

Logfile of HijackThis v1.99.1
Scan saved at 12:00:28, on 01-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\system32\PROMon.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\programmer\powerstrip\pstrip.exe
C:\programmer\steam\steam.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Mozilla Firefox\firefox.exe
D:\Programmer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
O4 - HKLM\..\Run: [PowerStrip] c:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Genvej til point32.lnk = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Jeg kan allerede nu afsløre, at efter jeg startede min computer op på ny efter at have fulgt guide, blev jeg med det samme meddelt, at der var to vira i hhv. C:\WINDOWS\system32\ og C:\WINDOWS\system32\1024...

forevernewbie, den fil, jeg kan hente fra det link, du henviser til i 29/06-2006 00:37:55, hvad skal jeg gøre med den? Kan den fjerne virussen?

Det link var kun til info , så det skal du ikke bruge.

Prøv lige dette, indtil levich vender tilbage:

1. Hent og pak SmitfraudFix.zip ud til dit Skrivebord.

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Programmet pakker sig ud i en mappe, der hedder SmitfraudFix.


2. Hent denne scanner http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Installer scanneren, og opdater den manuelt. OBS, ved installationen bliver det foreslået at du registrerer med din email. Det behøver du ikke at gøre.

Du skal ikke scanne endnu.


3. Genstart i fejlsikret (tast f8 flere gange under opstart), hvis du ikke kan, så kig her:

http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1


4. Åbn mappen SmitfraudFix som du fik på Skrivebordet, og dobbeltklik på SmitfraudFix.cmd og tast 2 - svar ja til at rense (y=yes). Lad programmet gennemføre en rensning. Hvis fixet genstarter computeren, så skal du bagefter starte op i fejlsikret igen, og fortsætte proceduren med SuperAntiSpyware.


5. Start SuperantiSpyware, og klik "Scan your computer". Sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scanneren fjerne det.

Genstart til normal tilstand (scanneren tilbyder måske at gøre det).


6. Åbn scanneren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med en frisk HijackThis log. SmitfraudFix laver også en lille tekstfil (log). Kopier også denne log ind.

Tusind tak for den hurtige tilbagevenden. Computeren står lige og kører noget virus-/spywarescan, som den har brugt et par time på indtil videre, så jeg lader den køre det færdigt.

Når den er færdig, går jeg i gang med den guide, du lige har smidt ind, og så vender jeg tilbage.

Endnu en gang mange tak :)

Okay, her er SuperantiSpyware-log'en:

SUPERAntiSpyware Scan Log
Generated 07/01/2006 at 03:04 PM

Core Rules Database Version : 3000
Trace Rules Database Version: 1079

Memory threats detected  : 0
Registry threats detected : 0
File threats detected    : 8

Adware.Tracking Cookie
    C:\Documents and Settings\Larsen\Cookies\larsen@track.adform[2].txt
    C:\Documents and Settings\Larsen\Cookies\larsen@stats1.reliablestats[1].txt
    C:\Documents and Settings\Larsen\Cookies\larsen@atdmt[1].txt
    C:\Documents and Settings\Larsen\Cookies\larsen@cgi-bin[1].txt
    C:\Documents and Settings\Larsen\Cookies\larsen@indexstats[1].txt
    C:\Documents and Settings\Larsen\Cookies\larsen@2o7[1].txt

Trojan.Security Toolbar
    C:\Documents and Settings\All Users\Menuen Start\Online Security Guide.url
    C:\Documents and Settings\All Users\Menuen Start\Security Troubleshooting.url


Og en frisk HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 15:17:16, on 01-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\system32\PROMon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\programmer\powerstrip\pstrip.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
D:\Programmer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sunasDTServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKCU\..\Run: [Steam] "c:\programmer\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Genvej til point32.lnk = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Og her SmitfraudFix´ log:

SmitFraudFix v2.65

Scan done at 14:45:48,71, 01-07-2006
Run from C:\Documents and Settings\Larsen\Skrivebord\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

[HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\hvcycg.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOCUME~1\Larsen\FORETR~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Nu kom en advarsel pludselig frem på skærmen (det så ret "Windows-agtigt" ud), og der stod, at min computer måske var i fare, og at jeg blev anbefalet at installere "WinVirus 2006" (tror jeg det hed). Jeg lukked det, men Firefox startede op og gik ind på en hjemmeside, hvor den forsøgte at hente en fil ned.
Det gjorde den også for et par dage siden.

Det ser med andre ord ud som om, der stadig er noget snavs.

Den er lidt stædig.

Hent denne regfil. Dobbeltklik på den, og sig ok til regeditor http://www.bleepingcomputer.com/files/reg/FixSQ.reg

Hent og dobbeltklik på smitRem.exe

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

Programmet pakker sig ud til mappen smitRem.


Genstart i fejlsikret (tast f8 flere gange under opstart). Hvis du ikke kan, så kig her:

http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Åbn mappen smitRem, og dobbeltklik på RunThis.bat (Følg vejledningen i vinduet.)


Find smitfiles.txt via Start/Søg, og kopier den her ind.

Øjeblik, jeg går i gang...

smitRem © log file
    version 3.0

    by noahdfear


Microsoft Windows XP [version 5.1.2600]
"IE"="6.0000"

Running from
C:\Documents and Settings\Larsen\Skrivebord\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 784 'explorer.exe'
Killing PID 784 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)

Får du stadigvæk advarslerne ? Hvis ja, så prøv at køre dette fix ?

1. Print gerne denne vejledning ud, da vi vil være nødt til lukke alle vinduer under processen.

2. Hent Rougescanfix til skrivebordet her http://users.telenet.be/Beamerke/tools/roguescanfix_setup.exe

3. Dobbeltklik roguescanfix_setup.exe, vælg sprog og klik OK. Klik NEXT.

4. Vælg "I accept the agreement", og klik NEXT. Klik NEXT igen.

5. Klik INSTALL.

6. Når installationen er færdig, og et nyt vindue er åbnet, klik FINISH.

7. I det sorte DOS vindue, taster du en tilfældig tast. Nu vælger du mulighed 1, og trykker på <enter>.

8. Hvis du bliver præsenteret for mulighed for at afinstallere, så kør afinstalleringen.

9. Når du ser meddelelsen "Completed script execution", kan du lukke programmet.


OBS: Dette fix kræver en aktiv internetforbindelse, og har brug for at downloade filer. Hvis din firewall spørger, så skal du give den tilladelse.

Nej, nu har jeg kørt i næsten en halv time uden, at der sker noget, så det kan være, at det er fixet nu.

Hvis der sker noget, prøver jeg din guide og vender tilbage.
Hvis der ikke er sket noget i aften, får du point, ok?

Det lyder da godt, men vil du ikke lige have et sidste tjek af HijackThis loggen ?

Det vil være ok for mig at dele point med andre som deltog, men det er selvfølgelig op til dig, hvem du vil give point.

Logfile of HijackThis v1.99.1
Scan saved at 16:43:21, on 01-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\system32\PROMon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\programmer\powerstrip\pstrip.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
D:\Programmer\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sunasDTServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Genvej til point32.lnk = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


levich og dig får hver 50 point, hvis I smider svar. Tusind tak for hjælpen.

Umiddelbart en ren log, MEN! Tjek lige om denne er en original Microsoft fil:

C:\WINDOWS\system32\notepad.exe <-

Nyt problem:

Når jeg klikker på Stifinder, Denne Computer eller Søg, så sker der bare det, at min baggrund (helt blå) bare kommer til at fylde HELE skærmbilledet (proceslinien og ikonerne på Skrivebordet forsvinder) i 3 sek., og så vender det hele tilbage til normal. Så sker der ikke mere. De åbner ikke, programmerne.
Det er, som om, det kun er Windows-programmerne, der er noget galt med - Firefox, ordbøger og alt muligt andet virker.

Så jeg kan ikke tjekke filen, og jeg kan heller ikke navigere rundt på min computer... Hvad er der sket?

Det samme sker, hvis jeg forsøger at åbne en mappe.

Skal jeg prøve at køre en repair af Windows?

Og nu har jeg opdaget, at i min proceslinie er ikonerne for mit net- og lydkort forsvundet.

Hvis jeg må sige noget, så undrer det mig, hvor den legale O2-linie, som pegede på Adobe-BHO'en blev af. Og at vundo forsvandt så hurtigt. Jeg tænker derfor, at det kunne være godt at få lov til at se en ny Hijackthis-log, hvor du først har givet Hijackthis-programmet et nyt navn, inden du kører det (fx HJT.exe). Men det er bare et forslag. Hvis computeren er helt symptomfri, er det muligvis overflødigt :-)

Logfile of HijackThis v1.99.1
Scan saved at 19:21:01, on 01-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\system32\PROMon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\programmer\powerstrip\pstrip.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Larsen\Skrivebord\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C292EAE-8A8E-48CC-B924-1FA2A2700148} - C:\WINDOWS\system32\jkhhh.dll
O2 - BHO: (no name) - {5C9CEB6C-D9D5-4353-B96F-005F32515DCA} - C:\WINDOWS\system32\jkhhh.dll
O2 - BHO: (no name) - {72D50623-DBA2-4265-B6DB-3AA39B6AC475} - C:\WINDOWS\system32\jkhhh.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sunasDTServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Genvej til point32.lnk = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: jkhhh - C:\WINDOWS\system32\jkhhh.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Lavet, hvor Hijackthis havde navnet HJT.

Og problemerne beskrevet i 01/07-2006 19:02:08 er der stadigvæk.

Ja, Vundo-infektionen er stadig i loggen. Prøv dette:

-- Download dette fix til rodbiblioteket på din computer (c:\):
http://www.atribune.org/ccount/click.php?id=4

-- Dobbeltklik på VundoFix.exe for at køre det. Sæt flueben ud for "Run VundoFix as a task". Du vil få en besked om at Vundofix vil lukke og genåbne indenfor ca. et minut. Klik på OK.

-- Når Vundofix genåbner, skal du klikke på "Scan for Vundo"-knappen.

-- Når den er færdig med at scanne, skal du klikke på "Remove Vundo"-knappen.

-- Du vil så blive spurgt om du er sikker på, at du vil fjerne filerne. Her skal du klikke på "Yes". Herefter bliver dit skrivebord blankt, og fixet vil forsøge at fjerne Vundo. Når den er færdig, vil værktøjet have lov til at lukke computeren ned. Det skal du acceptere.

-- Genstart herefter computeren, og lav en ny log med HJT (den omdøbte version), som du lægger herind. Læg også indholdet af denne fil herind: C:\vundofix.txt

HJT-log:

Logfile of HijackThis v1.99.1
Scan saved at 19:50:35, on 01-07-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\StartupMonitor.exe
C:\WINDOWS\system32\PROMon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\programmer\powerstrip\pstrip.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Larsen\Skrivebord\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C292EAE-8A8E-48CC-B924-1FA2A2700148} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {5C9CEB6C-D9D5-4353-B96F-005F32515DCA} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {72D50623-DBA2-4265-B6DB-3AA39B6AC475} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PowerStrip] c:\programmer\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sunasDTServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasDtServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programmer\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Genvej til point32.lnk = C:\Programmer\Microsoft Hardware\Mouse\point32.exe
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


VundoFix-log:


VundoFix V4.2.84

Running as SYSTEM
from c:\windows\system32\VundoFix.exe

Checking Java version...

Sun Java not detected
Scan started at 19:47:05 01-07-2006

Listing files found while scanning....


C:\WINDOWS\system32\hhhkj.bak1
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\jkhhh.dll
Attempting to delete C:\WINDOWS\system32\hhhkj.bak1
C:\WINDOWS\system32\hhhkj.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\hhhkj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkhhh.dll Has been deleted!

Performing Repairs to the registry.
Done!


Det hele blev udført under "normale" omstændigheder - altså ikke Fejlsikret tilstand, og nu virker det helt normalt igen. Denne Computer, Stifinder og Søg virker igen...

Tusind tak for hjælpen. smid et svar, så får du også point.

Jeg skal ikke have nogle point.

Ja, det hjalp på Vundo-infektionen. Der er lige et par entries i Hijackthis-loggen, som du skal fixe:

O2 - BHO: (no name) - {1C292EAE-8A8E-48CC-B924-1FA2A2700148} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {5C9CEB6C-D9D5-4353-B96F-005F32515DCA} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {72D50623-DBA2-4265-B6DB-3AA39B6AC475} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

Genstart, og check at disse linier er forsvundet. Hvis de er det, tror jeg vi kan konkludere at computeren er ren (hvis jeg var dig, ville jeg måske nok tage en ny scanning med Dr.Web og SuperAntispyware, for at få ryddet op).

Hvis ikke de linier er forsvundet, så prøv at lægge en ny log herind.

Jeg lægger dette som svar, men eftersom der er mindst 2 andre, der ydet god hjælp i denne tråd (Levich og Forevernewbie), vil jeg mene, at de også bør have point.

ejvindh -> Godt du lige tænkte på omdøbningen af HijackThis :)

levich -> Det her blev vist et rigtigt teamwork, så jeg syntes da at du også skal lægge et svar, som craft jo også bad dig om.

Hov, og så lige svaret

Linierne er forsvundet.

Det Dr. Web, du snakker om, er det det her http://solutions.drweb.com/home/demo/ ?

ejvindh, resten af dine point er her: http://www.eksperten.dk/spm/718597

Jeg havde ikke set, at Dr.Web ikke var kørt tidligere. Den traditionelle vejledning til denne scanner og link lyder sådan her *S*:

Hent Dr. Web, og gem det på skrivebordet:
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Genstart til fejlsikret tilstand (tryk F8 under opstarten)

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til. Lad den slette hvad den finder (say Yes to all)
Når den skriver "Select object for Scanning" nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet - File Types, prik i - All Files
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Move.
Fjern flueben ved "Prompt on action"
Ved "Move path", skriver du i tekstboksen "c:\" Så der kommer til at stå "c:\infected".
Skift til fanbladet Log File. Der fjerner du flueben ved: "Scanned objects" og "Archivers name".
Tryk på Anvend

Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.
Tryk så på den grønne pil nederst til højre, så scanner den.
Lad den slette/move hvad den finder (Say yes to all)

Når scanningen er færdig, gå op i file – Tryk på- Save Report list.

Så ligger der en en fil der her hedder "drweb.csv" på skrivebordet. Luk Programmet

Genstart til normal tilstand, kopier indholdet af drweb.csv herind.

Lige nu står den og kører en SuperAntiSpyware-scan, så jeg smider Dr. Web-log'en herind, når den engang bliver færdig.

Process.exe    C:\Documents and Settings\Larsen\Skrivebord\SmitfraudFix\SmitfraudFix    Tool.Prockill    Moved.
Process.exe    C:\Documents and Settings\Larsen\Skrivebord\smitRem    Tool.Prockill    Moved.
Patch.exe    D:\Alcohol.120%. v1.4.8.1222 w.Retail. Patch-BetaMaster    Tool.ASEye.2    Moved.
backup-20060628-173630-570.dll    D:\Programmer\backups    Trojan.Virtumod    Deleted.

Det ser nok lidt underligt ud, for den åbnede "drweb.csv" i Excel.

Næ, det ser find ud...

Det lyder godt. Så ser der ud til at være blevet ryddet godt op :-)

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
www.spywareinfo.dk/download/cleantempxp2k.bat
---------------------------

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser denne artikel om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414

Du skriver, at jeg skal deaktivere Sysyemgendannelse og så aktivere det igen. Lige nu er det deaktiveret, fordi vi skulle fixe de her problemer. Skal jeg slå det til igen, eller hvad?

Spywareblaster og -guard (som der henvises til i "Pakken") har jeg kørt med indtil for nogle formateringer siden :) Men det virker, som om de aldrig reagerer, og når de skulle opdatere var der aldrig nogle updates at hente - selvom installationsfilerne var et år gamle. Jeg kunne heller ikke se dem i proceslinien, og under "Processer" i Taskmanager, var de heller ikke synlige.

Virker de eller hvad?

Og faktisk har jeg kørt med de programmer, der anbefgales i "Pakken" i et stykke tid, men de er ikke blevet installeret i denne omgang - pga. dovenskab, men det sker nu.

Endnu en gang mange tak for hjælpen.

Ja, jeg synes du skal slå systemgendannelsen til.

Spywareblaster bliver nu opdateret ca. en gang hver 14. dag. Men du skal selv checke for opdateringer, hvis du ikke betaler for programmet. Du vil aldrig mærke at den er der, idet den virker passivt, ved at der bare er nogle ting, der ikke kommer ind på din computer.

Spywareguard bliver ganske rigtig meget sjældent opdateret. Men udfra din beskrivelse, kunne det godt lyde som om, du ikke har haft den ordentligt installeret, idet den bør kunne ses under aktive processer.

Vil du have et andet gratis program, der kan noget af det samme, men bliver oftere opdateret, skal du kigge på enten Spybot (med Teatimer aktiveret) eller Microsoft's defender:
http://www.spywarefri.dk/vaerktoj.htm#spybot
http://www.microsoft.com/athome/security/spyware/software/default.mspx
Gode råd omkring Microsoft defender:
http://www.ctrlaltdel.dk/forum/forum_topics.asp?FID=12

Okay, mange tak.

Jeg tror, vi er færdige nu. Du får lige lidt karma :)

Tak for point og karma :-)