HijackThis log - Hjælp den er helt gal pt. 2

øjeblik, så ser jeg på det.

[eDonkey2000] +  [p2pnetwork] = SUK !!!
Mere end 10 uønskede elementer ifølge din log...

Der er meget ”snavs”, men bare rolig, det skal nok lykkedes os at få det fjernet.
Læs alle nedenstående punkter inden du gør noget.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent http://downloads.stevengould.org/cleanup/CleanUp40.exe
Læs vejledningen til Cleanup her: http://www.bleepingcomputer.com/forums/tutorial93.html

Opdater Ewido, som jeg kan se du allerede har, men vent med at scanne.

Hent og udpak Killbox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Hent http://www.cexx.org/LSPFix.exe.
Hvis du senere ikke kan komme på internettet, skal du køre lspfix.exe, marker "I know what I am doing" og klik på finish.

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op).

Tast CTRL+ALT+DEL, vælg faneblade Processer og find denne/disse fil(er):
ishost.exe
ismini.exe
Højreklik på hver fil og vælg Afslut.

(4)
Scan med Ewido, fix de ting som den finder og gem loggen f.eks. på skrivebordet.

(5)
Fix følgende linjer med HijackThis:
O2 - BHO: (no name) - {11FFDE07-E84D-E2E6-A9D0-032F4964A36C} - C:\WINDOWS\System32\kudjlnl.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\System32\ipv6mons.dll (file missing)
O2 - BHO: (no name) - {EDDC5E7F-85C8-4A9C-9BFD-95A64BC24BFE} - C:\WINDOWS\System32\hgdaw.dll
O3 - Toolbar: &AEVITA Save Flash - {33973600-925A-11D9-A1F6-9234C84D2622} - C:\PROGRA~1\AEVITA~1\SAVEFL~1.DLL
O4 - HKLM\..\Run: [Network] C:\Programmer\Network\network.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe
O4 - HKLM\..\Run: [DI2] "C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKCU\..\Run: [ikrk] C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O9 - Extra button: AEVITA Save Flash - {0C4D904C-697B-4F51-B82F-D5D8D8D36405} - C:\PROGRA~1\AEVITA~1\SAVEFL~1.DLL
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\WUASPINT.DLL (file missing)
O20 - Winlogon Notify: hgdaw - C:\WINDOWS\System32\hgdaw.dll
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\SYSTEM32\winexy32.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi278688.exe (file missing)

(6)
Start KillBox, sæt prik i "Delete on reboot", kopier nedenstående filnavn(e) til tekstfeltet i Killbox og klik herefter på den røde knap med det hvide kryds. Gentag det for alle filerne, men sig først ja til at genstarte, når du kommer til den sidste fil. Du skal genstarte i fejlsikret tilstand.

C:\WINDOWS\System32\aspi278688.exe

(7)
Åbn "denne computer", i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\System32\kudjlnl.dll
C:\WINDOWS\System32\ipv6mons.dll
C:\WINDOWS\System32\hgdaw.dll
C:\PROGRA~1\AEVITA~1\SAVEFL~1.DLL
c:\drsmartloadb.exe
C:\windows\winsysupd.exe
C:\windows\winsysban.exe
C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe
p2pnetwork.exe
C:\WINDOWS\system32\WUASPINT.DLL
C:\WINDOWS\SYSTEM32\winexy32.dll
C:\WINDOWS\System32\aspi278688.exe
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\ismini.exe
… og følgende mappe(r):
C:\Programmer\Network\
C:\PROGRA~1\FLLESF~1\ikrk\

Bemærk at nogle af dem kan allerede være slettet af Ewido.

(8)
Kør Cleanup. Gå til option og sæt flueben ved cookies, prefetch, temp og all users. Tryk på “cleanup”.

(9)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind sammen med loggen fra Ewido, som du gemte tidligere.

(10)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Først af alt tak fordi du gider bruge tid på det her. Jeg beklager den lange svartid - men da jeg ikke kan gå på nettet hjemmefra bliver jeg nød til, at kommunikere fra arbejdet.

Jeg har nu fulgt overstående vejledning - og der er disse kommentarer:

ad 3) Hverken isholst.exe eller ismini.exe dukkede op under fanebladet processer

ad 4) Når jeg scanner med den ewido finder den overhoved ikke noget!!(da jeg ikke kan gå på nettet og opdatere den version jeg havde på min computer hentede jeg ewido anti-spyware 4.0 via min computer på arbejdet og installerede det herefter på min egen)

ad 7)
Følgende filer kunne jeg godt finde men de kunne ikke slettes da de "benyttes af et andet program"
C:\WINDOWS\System32\hgdaw.dll
C:\WINDOWS\SYSTEM32\winexy32.dll

Følgende kunne jeg ikke finde:
C:\WINDOWS\System32\kudjlnl.dll
C:\WINDOWS\System32\ipv6mons.dll
c:\drsmartloadb.exe
C:\windows\winsysupd.exe
C:\windows\winsysban.exe
C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe
p2pnetwork.exe
C:\WINDOWS\System32\aspi278688.exe

ad 9)Da ewido ikke fandt noget er der ingen log

Jeg tør stadig ikke tilslutte netværkskablet da min computer stadig ikke ser helt rask ud.
For det første er den stadig meget langsom.
For det andet er der noget der har hijacket mit skrivebord. på skrivebordsbilledet står der noget i stil med: "Warning! spyware threat detected! System error #1752". Desuden er der to links til hypoteches.com.

Jeg kørte HiJackThis igen og her er loggen:
Logfile of HijackThis v1.99.1
Scan saved at 09:07:18, on 07-09-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
C:\Documents and Settings\Mikael Kirk.MIKAEL\Skrivebord\Software\hijackthis\Hjt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE0754D8-BD95-44E8-B013-5FDC052AA8F7} - C:\WINDOWS\System32\hgdaw.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Overnet] C:\Programmer\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programmer\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DI2] "C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKLM\..\Run: [Network] C:\Programmer\Network\network.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\Run: [ikrk] C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWlan.lnk = ?
O8 - Extra context menu item: &Google-søgning - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - C:\Programmer\adgangforalle.exe
O9 - Extra 'Tools' menuitem: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - C:\Programmer\adgangforalle.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: hgdaw - C:\WINDOWS\System32\hgdaw.dll
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\SYSTEM32\winexy32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi278688.exe (file missing)
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe

Bare lige for at være sikker: Du gennemførte punkt (3) til (8) i fejlsikret tilstand, korrekt?

Jo det gjorde jeg

Der er fjernet en lille smule. Mit bedste forslag er nedenstående, som kræver at du igen henter nogle programmer på internettet. Punkterne (3) til (5) er diverse værktøjer, som måske kan fjerne dine problemer, jeg ved det ikke, men det er helt sikkert et forsøg værd.

(1)
Deaktiver systemgendannelse, ved at Højreklikke på "Denne Computer" på skrivebordet -> egenskaber -> Systemgendannelse -> sæt flueben i "Deaktiver systemgendannelse" -> Klik OK.

(2)
Hent http://www.spywarefri.dk/vaerktoj.htm#spybot (Spybot).
Hent: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Hent vundofix.exe: http://www.atribune.org/ccount/click.php?id=4

(3)
Start spybot og scan. Slet linjerne med rød tekst.

(4)
Dobbeltklik på SmitfraudFix.zip, hvorefter programmet pakker sig ud til mappen smitRem.
Åbn mappen smitfraudfix mappen, dobbeltklik på smitfraudfix.cmd, vælg option #2, svar yes (=y) til at rense inficerede filer.
Hvis du bliver bedt om at erstatte  filen wininet.dll med en anden, skal du svare yes (=y).
Hvis du bliver bedt om at genstarte computer, skal du genstarte den i normal tilstand.

(5)
Dobbeltklik på VundoFix.exe. Sæt flueben ud for "Run VundoFix as a task". Du vil få en besked om at Vundofix vil lukke og genåbne indenfor ca. et minut. Klik på OK.

Når Vundofix genåbner, skal du klikke på "Scan for Vundo"-knappen.

Når den er færdig med at scanne, skal du klikke på "Remove Vundo"-knappen.

Du vil så blive spurgt om du er sikker på, at du vil fjerne filerne. Her skal du klikke på "Yes". Herefter bliver dit skrivebord blankt, og fixet vil forsøge at fjerne Vundo. Når den er færdig, vil værktøjet have lov til at lukke computeren ned. Det skal du acceptere.

(6)
Scan med Ewido, fix de ting som den finder og kopier loggen herind.

(7)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op), og fix følgende linjer med HijackThis:
O2 - BHO: (no name) - {AE0754D8-BD95-44E8-B013-5FDC052AA8F7} - C:\WINDOWS\System32\hgdaw.dll
O4 - HKLM\..\Run: [DI2] "C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKLM\..\Run: [Network] C:\Programmer\Network\network.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe
O4 - HKCU\..\Run: [ikrk] C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O20 - Winlogon Notify: hgdaw - C:\WINDOWS\System32\hgdaw.dll
O20 - Winlogon Notify: winexy32 - C:\WINDOWS\SYSTEM32\winexy32.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi278688.exe (file missing)

(8)
Åbn "denne computer", i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".

søg efter og slet følgende fil(er):
C:\WINDOWS\System32\hgdaw.dll
C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
p2pnetwork.exe
C:\Programmer\Network\network.exe
c:\\drsmartloadb.exe
C:\windows\winsysupd.exe
C:\windows\winsysban.exe
C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
C:\WINDOWS\SYSTEM32\winexy32.dll
C:\WINDOWS\System32\aspi278688.exe (file missing)

(9)
Start -> kør -> skriv "cleanmgr" -> Slet Temporary internet files, papirkurv og midlertidige filer. Gentag for alle dine drev.

(10)
Genstart computeren normalt. Lav en ny log med HijackThis, og send den herind.

(11)
Når vi er helt færdige, så husk at aktiver systemgendannelse igen.

Så har jeg været på den igen. Endnu en gang tak fordi du gider bruge tid på problemet.

Der er følgende kommentarer:

ad 3) spybot kræver internetadgang for, at scanne - og den tør jeg ikke bruge...(den skal updateres før den kan bruges)

ad 6) ewido finder stadig ikke noget

ad 8)Jeg kan kun lokaliserer to af filerne
C:\windows\system32\hgdaw.dll
C:\windows\system32\winexy32.dll

hgdaw.dll kan/må ikke slettes(jeg har prøvet med både killbox og HiJackThis - hvad er det egentlig for en fil?).
winexy.dll blev slettet.

Jeg har ad-watch til, at starte op med computeren. Når jeg gennemgår event-loggen kan jeg genkende alle de filer jeg lige havde ledt efter(jvf. punkt 8). Men jeg kan stadig ikke finde dem på computeren!.
Den eneste jeg kan finde er "hgdaw.dll" men den kan/må ikke slettes
Jeg har kopieret event-loggen ind - måske det kan hjælpe.


Ad-Watch Logfile, exported on 07-09-2006
Total number of events:13
===============================================
07-09-2006 23:28:49 - Definitions file SE1R120 25.08.2006 loaded successfully.
Build:SE1R120 25.08.2006
Total Signatures :63749
Target Families :953
Target Categories :6
CSI data Size :235892

File Size :2415113

===============================================
07-09-2006 23:28:49 - User preferences file loaded.
Ad-Watch preference file loaded.
Applying user settings
C:\Documents and Settings\Mikael Kirk.MIKAEL\Application Data\Lavasoft\Ad-Aware\awsettings.awc
Initialization complete.




===============================================
07-09-2006 23:28:51 - Sites file loaded.
Sites file loaded successfully.
C:\PROGRA~1\Lavasoft\AD-AWA~2\sites.txt
Total entries : 3223





===============================================
07-09-2006 23:28:54 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:ikrk
Data:C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
New Data:



===============================================
07-09-2006 23:28:54 - Registry modification detected
Root:HKEY_CURRENT_USER
Key:Software\Microsoft\Windows\CurrentVersion\RunServices
Value:p2pnetwork
Data:p2pnetwork.exe
New Data:



===============================================
07-09-2006 23:28:54 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:DI2
Data:"C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
New Data:



===============================================
07-09-2006 23:28:54 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\RunOnce
Value:AAW
Data:
New Data:



===============================================
07-09-2006 23:28:55 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Value:DCOM Server 2236
Data:
New Data:{2C1CD3D7-86AC-4068-93BC-A02304BB2236}



===============================================
07-09-2006 23:28:58 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:p2pnetwork
Data:p2pnetwork.exe
New Data:



===============================================
07-09-2006 23:28:58 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:Network
Data:C:\Programmer\Network\network.exe
New Data:



===============================================
07-09-2006 23:28:58 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:drsmartloadb
Data:c:\\drsmartloadb.exe
New Data:



===============================================
07-09-2006 23:28:59 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:winsysupd
Data:C:\windows\winsysupd.exe
New Data:



===============================================
07-09-2006 23:28:59 - Registry modification detected
Root:HKEY_LOCAL_MACHINE
Key:Software\Microsoft\Windows\CurrentVersion\Run
Value:winsysban
Data:C:\windows\winsysban.exe
New Data:



===============================================


Når jeg kører HiJackThis fås følgende:

Logfile of HijackThis v1.99.1
Scan saved at 07:38:24, on 08-09-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\Programmer\eDonkey2000\eDonkey2000.exe
C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmer\ZyDAS\ZD1211 802.11g Utility\ZDWlan.exe
C:\Documents and Settings\Mikael Kirk.MIKAEL\Skrivebord\Software\hijackthis\Hjt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dr.dk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FEADC0C5-275B-4DB2-859B-61EA6802384C} - C:\WINDOWS\System32\hgdaw.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Overnet] C:\Programmer\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programmer\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DI2] "C:\DOCUME~1\MIKAEL~1.MIK\LOKALE~1\Temp\27.exe\27.exe"
O4 - HKLM\..\Run: [p2pnetwork] p2pnetwork.exe
O4 - HKLM\..\Run: [Network] C:\Programmer\Network\network.exe
O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe
O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd.exe
O4 - HKLM\..\Run: [winsysban] C:\windows\winsysban.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\Run: [ikrk] C:\PROGRA~1\FLLESF~1\ikrk\ikrkm.exe
O4 - HKCU\..\RunServices: [p2pnetwork] p2pnetwork.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmer\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZDWlan.lnk = ?
O8 - Extra context menu item: &Google-søgning - res://c:\programmer\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Oversæt engelsk ord - res://c:\programmer\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Download all by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\Programmer\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Lignende sider - res://c:\programmer\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://c:\programmer\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://c:\programmer\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - C:\Programmer\adgangforalle.exe
O9 - Extra 'Tools' menuitem: Adgangforalle.dk fjernbetjening - {0AD5A451-967F-46BD-9F5E-39247D7FC77F} - C:\Programmer\adgangforalle.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: hgdaw - C:\WINDOWS\System32\hgdaw.dll
O20 - Winlogon Notify: winexy32 - winexy32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi278688.exe (file missing)
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmer\Fælles filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmer\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe

Det bliver nok et langt sejt træk det her.

Mht. til de andre filer, f.eks. C:\windows\winsysupd.exe, som du ikke kan finde:
Når du fjerner flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper" og sætter prik i "Vis skjulte filer og mapper", skal du trykke på knappen "ANVEND PÅ ALLE MAPPER".

Herved bør du kunne finde alle filerne vha. stifinder eller vha. start -> søg -> alle filer og mapper.

Genstart computeren i fejlsikret tilstand. Omdøb filen C:\WINDOWS\System32\hgdaw.dll til slet.txt og slet det efterfølgende. Herefter gentag punkterne 1, 4, 5, 6, 7, 8, 9 og 10 fra den sidste vejledning jeg gav (07/09-2006 11:34:17).

Hej levich,
ups, jeg havde overset den med, at anvende på alle mapper håber det virker. Det forsøger jeg lige så snart jeg kommer hjem.

Omkring hgdaw.dll har jeg allerede i fejlsikret tilstand forsøgt, at omdøbe den - men jeg får samme fejlmeddelelse. Nemlig at filen er i brug og kan ikke slettes/omdøbes. Den vil bare ikke væk...

Måske er edonkey2000 skyld i, at du ikke kan slette hgdaw.dll. Det kører i baggrunden kan jeg se. Afslut det, eller endnu bedre afinstaller det.

Feedback ?

Feedback [2] ?