Svhost bruger båndbrede.

Læs alle punkterne inden du gør noget.
Gem evt. denne vejledning som en tekstfil på skrivebordet vha. Notepad.

(1)
Hent Vundofix http://vundofix.atribune.org/ og følg vejledningen i afsnittet ”Normal usage for removal”.

(2)
Hent AFT-cleaner her: http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=21
Start programmet og vælg "select all" og derefter "empty all".
Hvis du har Firefox skal du først vælge det i menuen og derefter "select all" og "empty all".

(3)
Genstart computeren i fejlsikret tilstand (tryk F8 når Windows starter op) og Fix følgende linjer med HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

(4)
Åbn "denne computer", i menuen skal du klikke på Funktioner -> Mappeindstillinger -> Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler" og ved "Skjul filtypenavne for kendte filtyper", sæt prik i "Vis skjulte filer og mapper". Husk at trykke på knappen "Anvend på alle mapper" i stedet for "ok".

søg efter og slet følgende fil(er):
C:\WINDOWS\SYSTEM32\WinCtrl32.dll

(5)
Genstart computeren normalt. Lav en ny log med HijackThis og send den herind.

I punkt (5) skal du bruge den nyeste version af hijackthis:
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

Du har ikke opdateret dit Windows XP til ServicePack2 (SP2).
"Ubeskyttede pc’er holder i 20 minutter":
http://www.comon.dk/index.php/news/show/id=18812
http://www.pcworld.dk/blog/insider/1359?fpindex&fppos=5&a=block&i=113

Det er ikke så godt, for så er du ikke sikret mod mange af de vira, der suser rundt på nettet og kigger efter uopdaterede maskiner. Som du kan være et godt eksempel på !!!

Du kan hente ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
Download/copy til et passende sted på din PC
Afbryd fra det 'farlige' internet (stikket fysisk UD).
Instaler SP2 pakken.
Når det er så gået godt og efter en genstart eller to - først DA tilslut internettet igen og gå i start ->programmer ->Windowsupdate og lade din maskine scanne for nyeste opdateringer. Installer dem du får anbefalet.
Der skal nok være mere end 99 'pakker' ...

lehto -> karise_larry har helt ret i at du skal/bør installere SP2, men du skal først gøre det, når vi har konstateret, at du ikke mere har virus. Bagefter at du har installeret SP2, skal du så også installere SP3.

Lidt omsonst at rense en pc der ikke er opdateret???

karise_larry -> artiklen i dit første link http://www.comon.dk/news/ubeskyttede.pc%92er.holder.i.20.minutter_18812.html siger at en ubeskyttet PC kun holder i 20 minutter, men artiklen i dit andet link http://www.pcworld.dk/blog/insider/1359?fpindex&fppos=5&a=block&i=113 siger det modsatte, nemlig en en ubeskyttet PC er sikker.

Det først link er 47 mdr gammel, mens dit andet link er 1 mdr. gammel. Jeg vil derfor tillade mig at nævne at dine link er noget misvisende.

Jeg er ret sikker på, at konklusionen i det gamle link stadig gælder, hvilket naturligvis også er det budskab, som du gerne vil frem med :-)

Mht. mit budskab om, at en computer helst skal være fri for virus/spyware inden installationen af SP1, SP2 og SP3, har jeg desværre ikke en artikel at linke til, men jeg har læst det flere steder. Er jeg helt galt på den der, karise_larry og john_stigers?

... det er mest for budskabet's vedkommende...

Hvis jeg tager en ubeskyttet PC efter samme princip som ved http://www.pcworld.dk/blog/insider/1359?fpindex&fppos=5&a=block&i=113 og sætter til mit interne system så sker der nemlig ikke noget. Sansynligvis sådan PCWORLD har gjort. MEN hvis jeg sætter den _direkte_ til internettet og IKKE igennem en Router/Firewall (Hardware/software) så er den gal... er oplevet flere gange - som forsøg...

Dog ikke ensbetydende med udsagnet "Jeg har en Router; så behøver jeg ikke beskyttelse alá WindowsUpdate/ServicePack2 !!!" *GH*

Men ja - PC'en bør (=skal) være 'ren' (i dette tilfælde) før SP2/SP3 instaleres. Men brugeren ka' godt gøre klar til det ved at hente/Downloade pakken ->
ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/
M$ ServicePack3 til XP -> http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=da

Hej, jeg har været på ferie og derfor ikke kunne svare før nu. Jeg har prøvet som du skrev levich, men i punkt 4, fik jeg ikke lov til at slette winCtrl32 efter jeg havde fixet den. Hvad gør jeg ved det? Udover dette fandt vundofix ikke noget.

Velkommen tilbage fra ferien. På denne side http://www.bleepingcomputer.com/forums/topic131299.html, skal du følge punkterne (2) til (13) nederst på siden.
Bagefter vil jeg gerne se en ny log fra hijackthis.

Ja så begynder det at hjælpe på det. Computeren bruger ikke båndbrede mere.

SDfix fandt et par stykker bland andet ntos.exe så jeg havde set et par gange før:
Trojan Files Found:

C:\WINDOWS\system32\ntos.exe  - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
Folder C:\WINDOWS\system32\wsnpoem - Removed

Jeg kan vel roligt slette den mappe programmet har lavet med backup på skrivebordet?

Her er en ny Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:20, on 31-07-2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Apache Group\Apache2\bin\Apache.exe
C:\Programmer\NetLimiter 2 Monitor\nlsvc.exe
C:\Programmer\Apache Group\Apache2\bin\Apache.exe
C:\Programmer\NetLimiter 2 Monitor\NLClient.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Michael\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = C:\Programmer\NETGEAR WG311v2 Adapter\wlancfg5.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180169181960
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: Apache2 - Apache Software Foundation - C:\Programmer\Apache Group\Apache2\bin\Apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programmer\NetLimiter 2 Monitor\nlsvc.exe

--
End of file - 3933 bytes


Hvis loggen ser fin ud, så er der vel bare tilbage at installere servicepack 2+3?

(Du ka' tihvertifald 'varme' op til ved at hente pakkerne ->

Du kan hente ServicePack2 (SP2) her som 'løs' fil (~280Mb):
http://intern.sdu.dk/it-service/tjenester/ftphotel/ftpindhold/

ServicePack3 til XP -> http://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&displaylang=da

(Gem på et passende sted på din PC i første omgang til OK fra <levich> ...)

hehe ja har også hentet filerne

Det lyder godt at det har hjulpet. Nu synes jeg, at det hele ser fint ud, og så er det bare at få opgraderet til SP3.

mange tak for hjælpen.