Hvad gør man med virus-ramte filer?

Giv din pc en tur med www.ccleaner.com og følg derefter denne vejledning http://www.eksperten.dk/artikler/954 - nok ikke mig der følger op.

Vejledning til Ccleaner http://www.spywarefri.dk/manualer/ccleaner-manual.htm

Ingen af de nævnte filer er systemfiler!!!

At de ligger i system32 mappen betyder ikke at de er systemfiler :)

Du kan roligt slette dem.

Du har en VX2 infektion, følg vejledningen i artiklen som Nva linker til.

OK, jeg går i gang med ccleaner.

Mht nva's link http://www.eksperten.dk/artikler/954, så har jeg allerede en antivirus scanner (AVG) og en atispyware (Ad-Aware), er disse måske ikke skrappe nok til en VX2 infektion?

Og risikerer Dr.Web ikke at konflikte med AVG?

De filer AVG har fundet, kan jeg bare slette dem nu?

Nej, VX2 er en af de rigtig onde, den snupper Ad-aware og AVG ikke.
Der kommer ingen konflikter, især ikke hvis du scanner med Dr.Web i fejlsikret.

Lad i første omgang være med at slette noget AVG har fundet.

OK.

Hver gang jeg kører "Renser" i ccleaner, viser den:

RENSNING FÆRDIG
0 bytes fjernet

Selvom der kom en LANG liste med overflødige filer...

Nu genstartede jeg programmet, og så fandt det da 51 imidlertidige filer (ialt 0,34MB) Jeg har også kørt "Udbedre problemer" mm.

Jeg henter Dr.Web og Supercleaner.

Forresten, hvilken slags skade laver en VX2 infektion ?  :-/

Så bare fortsæt med de andre scannere.

http://www.lavasoft.de/software/plugins/vx2cleaner.shtml

Jeg kan ikke få den til at starte i fejlsikret tilstand, selvom jeg trykker F8 under opstart. Der kommer heller ikke noget "Vælg operativ system" uner opstart, som der ellers står under Hjælp.

Men det er måske ikke så risikabelt at køre det i alm tilstand ..?

Nva, jeg har jo lige hentet Superantiware. Skal jeg også have lavasofts vx2cleaner, eller er det bare et alternativ? De gør vel det samme, ikke?

Kør den i almindelig tilstand.

Gem lige Lavasofts scanner til vi har set logfilerne.

OK. Med Lavasofts scanner mener du min nuværende Ad-Aware, ikke?

Det var et alternativ, hvis SAS ikke tager skidtet.

Personligt bruger jeg aldrig Ad-Aware, men jeg læste det som et plugin du kan bruge i dit nuværende Ad-Aware program såfremt det ikke er alt for gammelt.

Ad-Adwares plugin har været på banen længe, men jeg kan simpelthen ikke huske om det stadig er effektivt.*S*

OK. Jeg troede VX2 var en virus (trojansk hest), men det er måske en spy/adware, eller noget tredje..?

Men jeg fik scannet, og her er log-teksterne:


DRWEB:

shellexp.exe;C:\WINDOWS\System32;Trojan.Cos;Deleted.;
MYSRCHAS.DLL;C:\PROGRAMMER\MYWAY\SRCHASTT\1.BIN;Adware.MyWay;Incurable.Will be renamed after reboot.;
MYSRCHAS.DLL;C:\Programmer\MyWay\SrchAstt\1.bin;Adware.MyWay;Renamed.;
A0062621.exe;C:\System Volume Information\_restore{FD900214-4976-4420-932B-690AC24B9F0E}\RP267;Trojan.Cos;Deleted.;


SAS:

SUPERAntiSpyware Scan Log
Generated 09/18/2006 at 02:11 AM

Core Rules Database Version : 3086
Trace Rules Database Version: 1115

Memory threats detected  : 0
Registry threats detected : 30
File threats detected    : 25

Adware.MyWay
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{04079851-5845-4dea-848C-3ECD647AA554}
    HKCR\CLSID\{04079851-5845-4dea-848C-3ECD647AA554}
    HKCR\CLSID\{04079851-5845-4dea-848C-3ECD647AA554}
    HKCR\CLSID\{04079851-5845-4dea-848C-3ECD647AA554}\InprocServer32
    HKCR\CLSID\{04079851-5845-4dea-848C-3ECD647AA554}\InprocServer32#ThreadingModel
    HKCR\CLSID\{04079851-5845-4dea-848C-3ECD647AA554}\Programmable
    C:\PROGRAMMER\MYWAY\SRCHASTT\1.BIN\MYSRCHAS.DLL
    HKCR\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}
    HKCR\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}\InprocServer32
    HKLM\Software\MyWay
    HKLM\Software\MyWay\myBar
    HKLM\Software\MyWay\myBar#Dir
    HKLM\Software\MyWay\myBar#pid
    HKLM\Software\MyWay\myBar#CurInstall
    HKLM\Software\MyWay\myBar#sr
    HKLM\Software\MyWay\myBar#pl
    HKLM\Software\MyWay\myBar#Id
    HKLM\Software\MyWay\myBar#CacheDir
    HKLM\Software\MyWay\myBar#HistoryDir
    HKLM\Software\MyWay\SearchAssistant
    HKLM\Software\MyWay\SearchAssistant#Dir
    HKLM\Software\MyWay\SearchAssistant#pid
    HKLM\Software\MyWay\SearchAssistant#CurInstall
    HKLM\Software\MyWay\SearchAssistant#sr
    HKLM\Software\MyWay\SearchAssistant#pl
    HKLM\Software\MyWay\SearchAssistant#Id
    HKLM\Software\MyWay\SearchAssistant#CacheDir
    HKLM\Software\MyWay\SearchAssistant#SettingsDir
    HKLM\Software\MyWay\SearchAssistant#NextConfigRequest
    HKLM\Software\MyWay\SearchAssistant#LastConfigRequest
    HKLM\Software\MyWay\SearchAssistant#ConfigDateStamp
    C:\Programmer\MyWay\myBar\1.bin
    C:\Programmer\MyWay\myBar\History\search
    C:\Programmer\MyWay\myBar\History
    C:\Programmer\MyWay\myBar
    C:\Programmer\MyWay\SrchAstt\1.bin\MYSRCHAS.#LL
    C:\Programmer\MyWay\SrchAstt\1.bin\PARTNER.DAT
    C:\Programmer\MyWay\SrchAstt\1.bin
    C:\Programmer\MyWay\SrchAstt\Cache\files.ini
    C:\Programmer\MyWay\SrchAstt\Cache\000DFED8
    C:\Programmer\MyWay\SrchAstt\Cache\000E0F14
    C:\Programmer\MyWay\SrchAstt\Cache\000394C9
    C:\Programmer\MyWay\SrchAstt\Cache
    C:\Programmer\MyWay\SrchAstt\Settings\prevcfg.htm
    C:\Programmer\MyWay\SrchAstt\Settings
    C:\Programmer\MyWay\SrchAstt
    C:\Programmer\MyWay

Adware.Tracking Cookie
    C:\Documents and Settings\Thomas\Cookies\thomas@doubleclick[1].txt
    C:\Documents and Settings\Thomas\Cookies\thomas@mediaplex[1].txt
    C:\Documents and Settings\Thomas\Cookies\thomas@adtech[2].txt
    C:\Documents and Settings\Thomas\Cookies\thomas@cgi-bin[1].txt
    C:\Documents and Settings\Thomas\Cookies\thomas@tribalfusion[1].txt
    C:\Documents and Settings\Thomas\Cookies\thomas@track.adform[2].txt

Trojan.Unknown Origin
    C:\WINDOWS\SYSTEM32\vx.tll

Trojan.VXGame/32
    C:\WINDOWS\SYSTEM32\dlh9jkdq8.exe


Jeg har slettet det som SAS fandt (ovenstående).


Mens Drweb scannede, kom AVG pludselig med besked om at virussen C:\...system32/kernels8.exe var fundet. Jeg valgte at ignorere den for at lade Drweb gøre arbejdet. Men Drweb lod kernels8.exe være, så da AVG atter kom med beskeden under scanningen med SAS, lod jeg den putte kernels8 i sin "Vault".

Her er AVGs vault liste:

"","","Trojan horse Downloader.Generic.XTB","C:\anad.exe","27-04-2006 08:21:24","anad.exe","8.5 KB"
"","","Trojan horse Downloader.Generic.XTB","C:\System Volume Information\_restore{FD900214-4976-4420-932B-690AC24B9F0E}\RP151\A0035645.exe","29-04-2006 08:21:47","A0035645.exe","8.5 KB"
"","","May be infected by unknown virus Exploit.WMF","C:\Documents and Settings\Thomas\Lokale indstillinger\Temporary Internet Files\Content.IE5\O12RG5UV\xpl[1].wmf","17-09-2006 05:21:17","xpl[1].wmf","8 KB"
"","","Virus found Downloader.Tibs","C:\Documents and Settings\Thomas\Lokale indstillinger\Temporary Internet Files\Content.IE5\O12RG5UV\win32[1].exe","17-09-2006 05:21:46","win32[1].exe","7.17 KB"
"","","Trojan horse Dropper.Small.19.L","C:\WINDOWS\System32\dlh9jkdq1.exe","17-09-2006 05:22:04","dlh9jkdq1.exe","6.43 KB"
"","","Virus found Downloader.Tibs","C:\WINDOWS\System32\dlh9jkdq2.exe","17-09-2006 05:22:38","dlh9jkdq2.exe","17.54 KB"
"","","Virus found Downloader.Tibs","C:\WINDOWS\System32\dlh9jkdq7.exe","17-09-2006 05:22:50","dlh9jkdq7.exe","6 KB"
"","","Virus found Downloader.Tibs","C:\WINDOWS\System32\dlh9jkdq6.exe","17-09-2006 05:23:00","dlh9jkdq6.exe","6 KB"
"","","Trojan horse Downloader.Generic2.MWW","C:\WINDOWS\System32\dlh9jkdq5.exe","17-09-2006 05:23:11","dlh9jkdq5.exe","4.17 KB"
"","","Virus found Downloader.Tibs","C:\WINDOWS\System32\kernels8.exe","18-09-2006 01:38:01","kernels8.exe","7.17 KB"

Jeg kan vel godt slette dem nu, ikke?

Jeg mener godt du kan slette dem, men du mangler vist at lægge en log fra HJT.

OK. Øh hvad er HJT for noget?

Det er nederste punkt i artiklen.

Gå ind her og hent Hijackthis. http://www.spywarefri.dk/downloads1/hijackthis.exe
Gem filen i sin egen mappe.

Kør Hijackthis, scan, save log og kopier logfilen herind

Nå ja, den havde jeg glemt. Her er log'en:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sol.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 64.237.37.47 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Send Image to Photo Library - file://C:\Programmer\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

Omdøb Hijackthis til Alternativ.
Kør en ny scanning og kom med den friske log, denne gang hele loggen, ikke kun nederste halvdel.

Hermed gjort. (ved ikke hvorfor kun sidste halvdel kom med før..)

Logfile of HijackThis v1.99.1
Scan saved at 20:27:50, on 18-09-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\WinZip\Wzqkpick.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Hijackthis\Alternativ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sol.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O1 - Hosts: 64.237.37.47 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Send Image to Photo Library - file://C:\Programmer\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

Der er ikke noget der skriger VX", men for en sikkerheds skyld:

-- Hent Look2Me-Destroyer herfra:
http://www.atribune.org/ccount/click.php?id=7
...og gem værktøjet på dit Skrivebord.

-- Luk alle åbne programvinduer - inklusiv Internet Explorer.

-- Dobbeltklik på Look2Me-Destroyer, sæt et flueben i "Run this program as a task". Du får en meddelelse om, at Look2Me-Destroyer vil lukke og åbne efter 10 sekunder - klik på OK.

Når Look2Me-Destroyer genåbner - klik på "Scan for L2M" - dine ikoner forsvinder - klik "Remove L2M". Klik OK når du får meddelelsen "Done scanning".

Nu får du meddelelsen "Done removing infected files!. Programmet vil lukke din computer - klik OK. Nu skal du finde filen C:\Look2Me-Destroyer.txt og kopiere indholdet herind, sammen med en frisk HijackThis log.

-- Hvis din firewall vil blokere Look2Me-Destroyers adgang til nettet, så skal du lade programmet få adgang.

Hvis du får en runtime error 339, så skal du hente MSWINSCK.OCX herfra:
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX
...og placere den i mappen C:\Windows\System32 Directory.

Inden du kommer med en ny Hijackthislog, skal du hente og installere Servicepack 1, uden den er rensning omsonst.
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

Så ud til at SAS tog VX'eren :D

fromsej - hvis ikke den mail jeg sendte til dig når frem...

Vil du kigge her http://www.eksperten.dk/spm/732845 ?

Nva >> Ja, det havde jeg lige overset.*S* Tak.

John >> Mailen kom igennem og er besvaret.*S*

Her er foreløbig Look2Me loggen:

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 19-09-2006 01:09:35


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratorer - Succeeded

Æh, hvis SAS har taget VX'eren, er det så nødvendigt med resten ?

Servicepakken fylder nemlig 140 MB, og min propfyldte HD er meget lille :)

Men jeg kan godt frigøre plads. Og servicepakken kan vel altid fjernes igen?

Læg en frisk HiJackThis-log herind, så vi kan se om der er mere snavs på.

Sådan:

Logfile of HijackThis v1.99.1
Scan saved at 14:08:01, on 19-09-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\WinZip\Wzqkpick.exe
C:\Hijackthis\Alternativ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sol.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Send Image to Photo Library - file://C:\Programmer\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html

Uden SP 1 er det spild af både din og vores tid.

Men loggen er ikke komplet?

Ups, det driller åbenbart. Jeg prøver igen:

Logfile of HijackThis v1.99.1
Scan saved at 14:08:01, on 19-09-2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\WinZip\Wzqkpick.exe
C:\Hijackthis\Alternativ.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sol.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmer\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Send Image to Photo Library - file://C:\Programmer\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

Jeg frigør noget plads og henter SP 1.

God idé.*S*

Så er din log ren, vi behøver ikke at se flere.
Du bør lige deaktivere systemgendannelse, genstarte og genaktivere den.

For at holde den ren kan du kigge på vores pakke til formålet.
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm
Som minimum anbefaler jeg Spywareguard, Spywareblaster, IE-Spyad og IE Privacy Keeper.
Et par artikler om sikker surfing finder du her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://fromsej.dk/html/avoid.html
Mvh:
Fromsej/Team Spywarefri.

Jeg siger mange tusinde tak for meget kompetent hjælp, en stor lettelse! Det er sgu godt, at der findes nogen som jer :-) Jeg tjekker de anviste links, og atter engang TAK.

Velbekomme, tak for point. :-)