hvordan fjerner jeg virus

Download "Malwarebytes' Anti-Malware" her: http://www.malwarebytes.org/mbam.php
Installer programmet, start det, lav "fuld systemscanning" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

Hent http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis.
Kør HijackThis, klik på scan, kopier loggens tekst og smidt den herind.



(Nej, jeg har ikke den store erfaring med at løse problemet, men kan blot se at det har løst mine problemer før)

Og husk naturligvis opdateret AntiVirus

Du kan lige til sidst rense computeren med CCleaner, hent og installér CCleaner http://www.ccleaner.com/ + http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Under installationen får du tilbudt [Yahoo Toolbar]. Du kan sige ja eller *NEJ* til den.
Lad programmer foretage en oprydning...

Hej  Leif  og  silbidor
Foreløbig tak for svar, inden jeg forsøger med ovennævnte, vil jeg lige spørge  :
Jeg har  anti-virus og firewall fra Yousee, hvor jeg har det som en del af min bredbånds-aftale.
Vil de nævnte kunne kollidere med det fra Yousee  ( jeg har tidligere været ude for at to forskellige anti-virus-programmer  ikke vil kunne " enes" om "pladsen" på computeren, og at jeg derfor måtte vælge hvilken en jeg ville bruge  ?
På forhånd tak.
hilsen  Jan Roland

De nævnte programmer går ikke under kategorien AntiVirus

Der er ikke noget at det vi har linket til der vil kolidere med dine programmer fra yousee.
Ps. janroland du skal bare bruge kommentarer når du vil skrive til hjælperene, svar er noget hjælperene lægger så du kan dele point ud, når du skal bruge svar er det for at du kan lukke et spørgsmål som du selv har stillet ,og ikke har fået brugbar hjælp ud af, nu skal du gå ned til venstre og afvise dit svar ved at markere afvis og så klikke på dit navn.
Er der ikke lagt et svar for den kommentar som du kan bruge beder du den som har lagt komentaren om at lægge et svar.

Hej  Leif
Jeg kan ikke bruge  :  Malwarebytes.org,  ?  når jeg klikker på linket, så åbner siden sig godt nok, men kort efter  "fryser"  siden og efter et stykke tid, popper der et vindue op på min skærm, der fortæller at Internet Explore har fundet en fejl og lukker ned for internettet  !  ?
Har du andre gode forslag  ?
hilsen Jan Roland

Du kan hente programmet her, og så skal det bare installeres.
http://www.gratisupload.dk/show.php?fileId=15226

Opdater og kør en fuld scanning.

på - gratisupload - hentede min computer - automatisk - en fil ned der hedder  :
1219927937_dacax8ji.exe.
Er det den der skal pakkes eller dobbelklikke på hvis jeg skal bruge : mallawarebytes`en  ?
Jeg klikkede også på : fillisten,  men den var tom  ?
Har jeg et problem  ?
hilsen Jan Roland

Så ta' denne først ->

... for en go' ordens skyld; stik os/mig en HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

(Jooo - jeg har 'virus' på hjernen...)

Mht.: Vista - HøjreMusseTast på *.EXE filen - Kør som Administrator...

------------------

janroland du skal bare klikke på kør på ,den box der kommer frem når den har kørt første gang, klikker du kør igen på den nye box, så laver du en update og laver så en fuld skanning.
larrys link kan du bruge hvis den skanner du installerede ikke tog det hele.

Hej Allesammen
Nu lykkedes det mig at hente - malwarebytes - og jeg har bedt den scanne og tilintetgøre viruserne.
Jeg har hentet - trendsecure/hijackthis og bedt den om det
jeg har hentet - ccleaner og bedt den om det
jeg har hentet - spywareinfo/hijackthis ( karise_larry )

......  men lige meget har det hjulpet mig. "banditten" og dens "underbanditter"
( ca 899 af slagsen ) ligger STADIG i min TEMP-fil-område.
Jeg har som tidligere nævnt forsøgt at overføre "banditten" til min dokument-mappe, men der pakkede den sig ud, og jeg fik det stoppet ( der ligger banditten og måske ca. 300 medbanditter )
Jeg klikkede på den og bad Malaware om at scanne den for virus/malaware, og den svarede at der var ikke fundet noget  !  !  ?  ?
Bagefter bad jeg min egen secure-system om at scanne den for virus, men det "ville" den tilsyneladende ikke. Det skete ikke noget, den begyndte ikke at scanne ( selv efter 5 minutter ?? )
Når jeg følger almelindelig procedure om at slette alt i TEMP-mappen så strandser det hele ved denne "bandit" om et vindue fortæller mig at jeg ikke kan slatte den, da den bliver brugt af en anden - og der er ikke andre end mig der bruger denne computer  !
Hvad nu  ?  har I flere gode forslag  ?
hilsen Jan Roland

Ja, hvad med at skrive de logs ind som du får ind her som du får besked på ?

NEMLIG !

Sorry  !  dumme mig !  -godt ord igen, jeg er helt ny i det her.
Jeg har begge logs på "skrivebordet", men når jeg højreklikker på dem og klikker - kopier - , så kan jeg ikke gå her tilbage på siden og - sætte ind
hvad nu

Du skal åbne filerne og kopiere indholdet her ind.

... som der står beskrevet ved nævnte -> http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

OK,  det prøver jeg

Malwarebytes' Anti-Malware 1.25
Database version: 1103
Windows 5.1.2600 Service Pack 2

22:02:23 01-09-2008
mbam-log-09-01-2008 (22-02-23).txt

Skan type: Fuldstændig skanning (C:\|D:\|E:\|)
Objekter skannet: 122612
Tid tilbagelagt: 2 hour(s), 12 minute(s), 17 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 1
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 4

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
C:\Documents and Settings\Jan\Lokale indstillinger\Temp\GLK2EC.tmp (Rogue.EvidenceEliminator) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Jan\INSTALL.EXE (Trojan.Dropper) -> Quarantined and deleted successfully.

Næste  :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:54, on 03-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Plaxo\2.13.1.6\PlaxoHelper.exe
C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMB32.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FCH32.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsqh.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FAMEH32.EXE
C:\Programmer\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSGUI\fsguidll.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsaua.exe
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fssm32.exe
C:\Programmer\YouSee\Sikkerhedspakke\FWES\Program\fsdfwd.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsus.exe
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programmer\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\YouSee\Sikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\YouSee\Sikkerhedspakke\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmer\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programmer\Plaxo\2.13.1.6\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GStartup.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmer\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://photosmart.hpphoto.com/Download/HPeServicesLocalPrint.CAB
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 9401 bytes


Jeg  venter  spændt

Lidt generel oprydning - behøver ikke at være med i din opstart...

Kør en scanning med Hijackthis,
Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked.

Det er disse, som skal fixes:

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN

Genstart normalt... og en frisk log fra HiJackThis ...

------------------------------------------------------------------------

Hvordan kører PC'en så nu ?

Hej igen
Efter den store oprydning så det ud til at min PC var levet lidt hurtigere, og efter denne oprydning ser det ud til at "underbanditterne" fra - TEMP-mappen er væk. Nu har jeg "kun" hovedbanditten tilbage  dèr.  I min dokument-mappe er hovedbanditten og underbanditterne stadig, men måske er vi på vej.
Jeg håber det.

her er loggen  :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:46, on 08-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsgk32st.exe
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\FSGK32.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMA32.EXE
C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMB32.EXE
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FSM32.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Plaxo\2.13.1.6\PlaxoHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmer\YouSee\Sikkerhedspakke\Common\FAMEH32.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsqh.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSGUI\fsguidll.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programmer\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fssm32.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsaua.exe
C:\Programmer\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmer\YouSee\Sikkerhedspakke\FWES\Program\fsdfwd.exe
C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsus.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Outlook Express\MSIMN.EXE
C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsav32.exe
C:\Programmer\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmer\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programmer\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmer\MSN Apps\MSN Toolbar\01.02.5000.1021\da\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmer\YouSee\Sikkerhedspakke\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmer\YouSee\Sikkerhedspakke\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\Programmer\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programmer\Plaxo\2.13.1.6\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [ccleaner] "C:\Programmer\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://kn.bar.need2find.com/KN/menusearch.html?p=KN
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmer\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://photosmart.hpphoto.com/Download/HPeServicesLocalPrint.CAB
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmer\YouSee\Sikkerhedspakke\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 9305 bytes

hilsen  Jan Roland

Hvilke mener du ?

Som allerførst beskrevet har jeg den bandit, der hedder  :  nvcbin.def.AB37B891.
Den ligger i min TEMP-mappe, og når jeg forsøger at slette den, kommer det frem at det kan jeg ikke, da den  -  bruges af en anden  -  men jeg er den eneste der bruger min PC, og det er ikke noget som jeg bruger  !
Da jeg forsøgte at flytte den et andet sted hen, så pakkede den sig ud, og jeg standsede flytningen. Jeg var "bange" for at den skulle fylde det hele.
Efterfølgende har jeg forsøgt at slette den både i TEMP-mappen, og i dokumenter, men den vil ikke slettes  -  den bliver brugt af en anden.
Jeg startede med at bede om hjælp til at få  DEN  fjernet, men det er ikke lykkedes endnu.
Som tidligere beskrevet har jeg bedt, både  -  Anitmalaware og hijackthis om at "undersøge" den for virus, men begge kommer op med et negativt resultat  ?  ?
Hvad laver den og hvorfor kan jeg ikke få den fjernet  ?  ?

hilsen  Jan Roland

-- Hent Avenger her:
http://swandog46.geekstogo.com/avenger2/avenger.zip

-- Pak Avenger-programmet ud og dobbeltklik på avenger.exe

-- Der dukker et vindue op, hvor du skal kopiere indholdet mellem ~~~ skrift ind:

~~~~~~~~~~~~~~~~~~
Files to delete:
(Her indsætter du FULDE STI til omtalte fil/filer; incl "efternavn")

Folders to delete:

~~~~~~~~~~~~~~~~~~

--- Klik på EXECUTE - og la' PC'en selv genstarte.

-- Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

hej igen

her er logfilen fra - Avenger  !  ? ? ? ?

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                             





L o g f i l e  o f  T h e  A v e n g e r  V e r s i o n  2 . 0 ,  ( c )  b y  S w a n d o g 4 6

h t t p : / / s w a n d o g 4 6 . g e e k s t o g o . c o m



P l a t f o r m :    W i n d o w s  X P



* * * * * * * * * * * * * * * * * * *



E r r o r :    S c r i p t  f i l e  n o t  f o u n d !

C o u l d  n o t  o p e n  s c r i p t  f i l e !    S t a t u s :  0 x c 0 0 0 0 0 3 4  ( S T A T U S _ O B J E C T _ N A M E _ N O T _ F O U N D )

    - - >  t h e  o b j e c t  d o e s  n o t  e x i s t



A b o r t !

Da jeg forsøgte at "angribe" banditten, kan jeg se at den har skiftet "navn", fra :
              nvcbin.def.AB37B891.TMP        -    til  :
              nvcbin.def.2F610BFA.TMP
    ! ! ! !  ? ? ? ?

hvad er det der sker  ?

hilsen  Jan Roland

Update ->
Den type fil nvcbin.def.* er 'lovlige' - det er midlertig(e) filer fra [F-Secure Anti-Virus] - lad den/dem være i'fred' ...

Jeg kan se at du - måske mere eller mindre mod din vilje - har installeret [Yahoo Toolbar] ?
Den er dog ikke 'farlig', men bare et irriterende program/toolbar som bare fylder op .
Hvis du vil slippe af med den kan du følge guiden herfra ->
http://support.microsoft.com/kb/303047

den  -  nvcbin.  er kommet et eller andet sted fra , som jeg ikke kan lide, og det der bekymrer mig er at den gang jeg forsøgte at flytte den fra TEMP-mappen og til dokumnet-mappen, så begyndte den at pakke sig ud, og blev til ( måske ) 800 filer, og hver gang jeg ville slette dem, så kopierede de sig, og det vagte bekymring.

Jeg skal måske ikke bekymre mig mere over den, men bare lade den være  ?  ?  ?

Den fylder "af hel......"  til , i min dokument-mappe  !

hilsen  jan roland

Det er næsten meget nemmere at redde dine personlige ting på harddisken,og så giv den en gang killdisk, du kan hente killdisk her. http://www.helgec.dk/killdisk.html
Eller du kan lave en ny installation af Windows med formatering, med en af disse er du din virus helt væk.

Det er i orden.  Havde jeg vist at det var "fragmenter" af min F-secure, så havde det været en "hurtigere" historie. 
Nå men tak for hjælpen, jeg fik da nogle nye "værktøjer" til oprydning.

Point`ene deler I vel selv.

hilsen  Jan Roland

Du skal dele point ud mellem dem du mener der skal have point, Du kan læse her hvordan man giver point / lukker sine spørgsmål.

http://expfaq.dk/behandling_af_svar#behandling_af_svar

Ping...
(Det var et [svar]...)

Når jeg skal til at give point, så er der kun 3 rubrikker,  1  til  mig
                                                            1  til  silbidor
                                                            1  til  karise_larry
hvor er rubrikken til  - leif  -  eller måske har han fraskrevet sig point  ?

hilsen Jan Roland

Sker der noget her?  Kan der afsluttes?
Du kan læse her hvordan man giver point / lukker sine spørgsmål.

http://expfaq.dk/behandling_af_svar#behandling_af_svar