CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede poes Novice
26. maj 2009 - 08:47 Der er 24 kommentarer og
1 løsning

Hjælp til virus

Hej,

Jeg kører Windows XP, bruger NOD32 antivirus, har kørt CCleaner og en ikke opdateret Malwarebytes.

Jeg har fået anskaffet mig en virus/orm/virut, som jeg ikke kan få bugt med, og jeg har derfor behov for hjælp til at lokalisere og fjerne utøjet.

Jeg opdagede problemet ved, at jeg ikke kunne komme i kommandoprompten via "kør" og "cmd". Derefter har jeg forsøgt at søge mig frem til løsningsmuligheder på nettet uden held. Jeg har bl.a. kørt CCleaner, som tilsyneladende har ryddet lidt op i systemet. Jeg har også kørt Malwarebytes, som fandt et problem og fixede det.

Problemet blev rigtig slemt, da jeg ikke kunne åbne computeren, eftersom min skærm efter XP loading billedet i opstarten blot blev sort, med en rød firkant hvori der stod: "Out of range". Det problem fik jeg løst ved at åbne i VGA tilstand, og derefter køre de ovennævnte programmer.

Nu kan jeg igen åbne PC'en, men jeg kan stadig ikke gå i cmd, og dermed heller ikke regedit. Jeg har dog erfaret, at jeg ved at omdøbe regedit.exe til noget andet, kan snyde min virus, og dermed åbne registreringsdatabasen.

Jeg kunne ikke opdatere Malwarebytes, da jeg fik beskeden om at jeg skulle tjekke jeg var tilsluttet nettet, og om Malwarebytes var undtaget i min firewall. Begge dele har jeg tjekket. Tænker det er muligt, at det også er min virus der blokerer for dette.

Jeg har tilsyneladende ingen problemer med at gå på nettet, og køre de fleste programmer. Jeg har dog før jeg rigtig havde opdaget problemet forsøgt at lave en ren genistallering af Steam, da det ikke kunne åbne. Det var her jeg erfarede, at jeg ikke kunne komme ind i regedit.exe. Derfor er jeg nu lidt bange for, om det kan være en såkaldt virut, som angriber .exe filer?

Jeg håber der er nogen der kan hjælpe mig med at finde frem til problemet, og forhåbentlig få renset ud i PC'en.
Avatar billede f-arn Guru
26. maj 2009 - 09:02 #1
Hent http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
Kør HijackThis, klik på "Do a systemscan scan and save a logfile"  kopier loggens tekst og send den herind.

Bemærk Hijackthis skal gemmes på computeren og ikke køres fra nettet

Jeg vil også gerne se loggen fra malwarebytes.
Avatar billede poes Novice
26. maj 2009 - 09:18 #2
Det vil jeg gøre, jeg er på arbejde lige nu, så har først mulighed for at gøre det når jeg kommer hjem i eftermiddag.
Avatar billede poes Novice
26. maj 2009 - 18:13 #3
Her er så log fra HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:15, on 26-05-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmer\A4Tech\Mouse\Amoumain.exe
C:\Programmer\Eset\nod32kui.exe
C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programmer\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programmer\DAEMON Tools\daemon.exe
C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmer\Skype\Phone\Skype.exe
C:\Programmer\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Programmer\Windows Media Player\WMPNSCFG.exe
C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programmer\Logitech\SetPoint\SetPoint.exe
C:\Programmer\Fælles filer\Logitech\KHAL\KHALMNPR.EXE
C:\Programmer\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmer\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programmer\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmer\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmer\PC Connectivity Solution\ServiceLayer.exe
C:\Programmer\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmer\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmer\PC Connectivity Solution\Transports\NclIVTBTSrv.exe
C:\Programmer\IVT Corporation\BlueSoleil\BlueSoleil VoIP Plugin.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Joachim\Skrivebord\Virus\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/ig?hl=da
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmer\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Hjælp til tilmelding til Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WheelMouse] C:\Programmer\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmer\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmer\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programmer\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmer\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmer\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = C:\Programmer\IVT Corporation\BlueSoleil\gprs.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmer\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194214143796
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B03FF8A-B1D2-44FD-9498-D27BE19B9736}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmer\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmer\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\Skype4COM.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programmer\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmer\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programmer\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmer\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programmer\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 12252 bytes
Avatar billede f-arn Guru
26. maj 2009 - 18:18 #4
Og malwarebytes? Jeg vil gerne se den der faktisk fandt noget!
Avatar billede poes Novice
26. maj 2009 - 19:16 #5
Her er Malwarebytes:

Malwarebytes' Anti-Malware 1.36
Database version: 1945
Windows 5.1.2600 Service Pack 3

26-05-2009 19:16:22
mbam-log-2009-05-26 (19-16-22).txt

Skan type: Fuldstændig skanning (C:\|D:\|F:\|)
Objekter skannet: 267790
Tid tilbagelagt: 44 minute(s), 53 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)
Avatar billede poes Novice
26. maj 2009 - 19:17 #6
Som jo ikke ser ud til at have fundet noget. Som sagt tidligere, har jeg heller ikke kunne opdatere det.
Avatar billede f-arn Guru
26. maj 2009 - 19:37 #7
Start stifinder og find :
C:\Windows\regedit.exe og højreklik på den og omdøb den til reg3dit.exe

Start så reg3dit.exe og find :
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32 , Højreklik på den og vælg eksporter. Gem den som en tekstfil og kopier indholdet herind.
Avatar billede poes Novice
26. maj 2009 - 21:30 #8
Her er den:

Nøglens navn:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Klassenavn:        <Uden klasse>
Seneste ændring:  09-05-2009 - 22:41
Værdi 0
  Navn:            midimapper
  Type:            REG_SZ
  Data:            midimap.dll

Værdi 1
  Navn:            msacm.imaadpcm
  Type:            REG_SZ
  Data:            imaadp32.acm

Værdi 2
  Navn:            msacm.msadpcm
  Type:            REG_SZ
  Data:            msadp32.acm

Værdi 3
  Navn:            msacm.msg711
  Type:            REG_SZ
  Data:            msg711.acm

Værdi 4
  Navn:            msacm.msgsm610
  Type:            REG_SZ
  Data:            msgsm32.acm

Værdi 5
  Navn:            msacm.trspch
  Type:            REG_SZ
  Data:            tssoft32.acm

Værdi 6
  Navn:            vidc.cvid
  Type:            REG_SZ
  Data:            iccvid.dll

Værdi 7
  Navn:            VIDC.I420
  Type:            REG_SZ
  Data:            msh263.drv

Værdi 8
  Navn:            vidc.iv31
  Type:            REG_SZ
  Data:            ir32_32.dll

Værdi 9
  Navn:            vidc.iv32
  Type:            REG_SZ
  Data:            ir32_32.dll

Værdi 10
  Navn:            vidc.iv41
  Type:            REG_SZ
  Data:            ir41_32.ax

Værdi 11
  Navn:            VIDC.IYUV
  Type:            REG_SZ
  Data:            iyuv_32.dll

Værdi 12
  Navn:            vidc.mrle
  Type:            REG_SZ
  Data:            msrle32.dll

Værdi 13
  Navn:            vidc.msvc
  Type:            REG_SZ
  Data:            msvidc32.dll

Værdi 14
  Navn:            VIDC.UYVY
  Type:            REG_SZ
  Data:            msyuv.dll

Værdi 15
  Navn:            VIDC.YUY2
  Type:            REG_SZ
  Data:            msyuv.dll

Værdi 16
  Navn:            VIDC.YVU9
  Type:            REG_SZ
  Data:            tsbyuv.dll

Værdi 17
  Navn:            VIDC.YVYU
  Type:            REG_SZ
  Data:            msyuv.dll

Værdi 18
  Navn:            wavemapper
  Type:            REG_SZ
  Data:            msacm32.drv

Værdi 19
  Navn:            msacm.msg723
  Type:            REG_SZ
  Data:            msg723.acm

Værdi 20
  Navn:            vidc.M263
  Type:            REG_SZ
  Data:            msh263.drv

Værdi 21
  Navn:            vidc.M261
  Type:            REG_SZ
  Data:            msh261.drv

Værdi 22
  Navn:            msacm.msaudio1
  Type:            REG_SZ
  Data:            msaud32.acm

Værdi 23
  Navn:            msacm.sl_anet
  Type:            REG_SZ
  Data:            sl_anet.acm

Værdi 24
  Navn:            msacm.iac2
  Type:            REG_SZ
  Data:            C:\WINDOWS\system32\iac25_32.ax

Værdi 25
  Navn:            vidc.iv50
  Type:            REG_SZ
  Data:            ir50_32.dll

Værdi 26
  Navn:            msacm.l3acm
  Type:            REG_SZ
  Data:            C:\WINDOWS\system32\l3codeca.acm

Værdi 27
  Navn:            wave
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 28
  Navn:            midi
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 29
  Navn:            mixer
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 30
  Navn:            aux
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 31
  Navn:            VIDC.CFHD
  Type:            REG_SZ
  Data:            CFHD.dll

Værdi 32
  Navn:            msacm.siren
  Type:            REG_SZ
  Data:            sirenacm.dll

Værdi 33
  Navn:            msacm.dvacm
  Type:            REG_SZ
  Data:            C:\PROGRA~1\FLLESF~1\ULEADS~1\Vio\Dvacm.acm

Værdi 34
  Navn:            MSVideo8
  Type:            REG_SZ
  Data:            VfWWDM32.dll

Værdi 35
  Navn:            wave1
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 36
  Navn:            mixer1
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 37
  Navn:            wave2
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 38
  Navn:            mixer2
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 39
  Navn:            wave3
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 40
  Navn:            midi1
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 41
  Navn:            mixer3
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 42
  Navn:            aux1
  Type:            REG_SZ
  Data:            wdmaud.drv

Værdi 43
  Navn:            VIDC.DIVX
  Type:            REG_SZ
  Data:            divx.dll

Værdi 44
  Navn:            VIDC.XVID
  Type:            REG_SZ
  Data:            xvidvfw.dll

Værdi 45
  Navn:            VIDC.YV12
  Type:            REG_SZ
  Data:            yv12vfw.dll

Værdi 46
  Navn:            msacm.ac3acm
  Type:            REG_SZ
  Data:            ac3acm.acm

Værdi 47
  Navn:            msacm.lameacm
  Type:            REG_SZ
  Data:            lameACM.acm

Værdi 48
  Navn:            VIDC.FFDS
  Type:            REG_SZ
  Data:            ff_vfw.dll

Værdi 49
  Navn:            msacm.vorbis
  Type:            REG_SZ
  Data:            vorbis.acm

Værdi 50
  Navn:            aux2
  Type:            REG_SZ
  Data:            C:\WINDOWS\system32\..\pfncsas.inw


Nøglens navn:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server
Klassenavn:        <Uden klasse>
Seneste ændring:  04-11-2007 - 17:22

Nøglens navn:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\Terminal Server\RDP
Klassenavn:        <Uden klasse>
Seneste ændring:  04-11-2007 - 17:22
Værdi 0
  Navn:            wave
  Type:            REG_SZ
  Data:            rdpsnd.dll

Værdi 1
  Navn:            mixer
  Type:            REG_SZ
  Data:            rdpsnd.dll

Værdi 2
  Navn:            MaxBandwidth
  Type:            REG_DWORD
  Data:            0x56b9

Værdi 3
  Navn:            wavemapper
  Type:            REG_SZ
  Data:            msacm32.drv

Værdi 4
  Navn:            EnableMP3Codec
  Type:            REG_DWORD
  Data:            0x1

Værdi 5
  Navn:            midimapper
  Type:            REG_SZ
  Data:            midimap.dll
Avatar billede f-arn Guru
26. maj 2009 - 21:47 #9
Start notesbllok og kopier følgende ind

--------------------------------

REGEDIT4

[KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"aux2"="wdmaud.drv"


--------------------------------


Gem det som fix.reg og når du gemmer det skal du sikre dig at der under filer står "alle filer"

Spørg hvis du er i tvivl.

Bagefter bør du kunne opdatere og køre malwarebytes.
Avatar billede f-arn Guru
26. maj 2009 - 21:49 #10
Du skal naturligvis lige klikke på fix.reg og vælge "flet" før det virker :-)
Avatar billede poes Novice
26. maj 2009 - 22:34 #11
Så har jeg gjort ovenstående. Når jeg prøver at vælge "flet" sker følgende:

Bundlinjen med startmenu, samt alle skrivebordsikoner forsvinder, og kommer kort derefter tilbage igen med først denne fejlmeddelelse:

"explorer.exe - Programfejl
Instruktionen ved "0x00f01ea8" refererede hukommelse ved "0x00f01ea8". Hukkomelsen kunne ikke "written".
Klik Ok for at at afslutte."

Derefter kommer en lignende fejlmeddelelse, som lyder:

Instruktionen ved "0x7c910a1b" refererede hukommelsen ved "0x00430063". Hukommelsen kunne ikke "read".

Jeg kan stadig ikke opdatere Malwarebytes.
Avatar billede f-arn Guru
26. maj 2009 - 22:54 #12
Nej, for jeg glemte noget.

Start hijackthis, klik "open the Misc tools section" og vælg "delete a file on reboot" og find denne


c:\windows\pfncsas.inw


Genstart og prøv så
Avatar billede poes Novice
26. maj 2009 - 23:12 #13
Super, det virkede. Nu har jeg opdateret Malwarebytes, og den kører nu en fuld skanning. Jeg smider log'en herind når den er færdig. Skal jeg rense evt problemer hvis den finder nogen, eller vente på du har kigget log'en igennem?
Avatar billede poes Novice
27. maj 2009 - 00:11 #14
Her er loggen fra Malwarebytes efter opdatering:

Malwarebytes' Anti-Malware 1.37
Database version: 2182
Windows 5.1.2600 Service Pack 3

27-05-2009 00:11:20
mbam-log-2009-05-27 (00-11-07).txt

Skan type: Fuldstændig skanning (C:\|D:\|F:\|)
Objekter skannet: 280640
Tid tilbagelagt: 46 minute(s), 38 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 1
Inficerede Mapper: 0
Inficerede Filer: 0

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Trojan.JSRedir.H) -> Bad: (C:\WINDOWS\system32\..\pfncsas.inw) Good: (wdmaud.drv) -> No action taken.

Inficerede Mapper:
(Ingen mistænkelige filer fundet)

Inficerede Filer:
(Ingen mistænkelige filer fundet)
Avatar billede poes Novice
27. maj 2009 - 00:12 #15
Skal jeg fjerne den malware den har fundet?
Avatar billede Computer Hjælp (Gratis) Mester
27. maj 2009 - 06:34 #16
JEPS !!!

...tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" ...
Avatar billede f-arn Guru
27. maj 2009 - 07:48 #17
Den burde ikke ha' været der hvis du brugte den fix.reg jeg prøvede at få dig til at lave. For at svare på om du har virut. Det er der ikke noget der tyder på.
Avatar billede poes Novice
27. maj 2009 - 08:16 #18
Jeg fjernede den igår aftes, og ved opstart får jeg ikke længere fejlmeddelelser, så det ser ud til at køre nu. Jeg prøver lige at køre fix.reg igen når jeg kommer hjem fra arbejde, og derefter køre endnu en Malwarebytes skanning igen. Så må vi se om der dukker noget op. Men i modsat fald, skulle jeg så være renset nu? Eller er der andet jeg lige skal være opmærksom på?
Avatar billede f-arn Guru
27. maj 2009 - 08:27 #19
Du behøver ikke køre fix.reg nu, den er unødvendig. Hvis du opdaterer  Malwarebytes, kører en hurtig skanning og den ikke viser noget så tror jeg ikke på der er mere.
Avatar billede poes Novice
27. maj 2009 - 08:36 #20
Det lyder super. Tusind tak for hjælpen. Det havde jeg aldrig selv fået bugt med. Smid et svar, så flyver pointene din vej.
Avatar billede f-arn Guru
27. maj 2009 - 10:30 #21
Personligt ville jeg afinstallere Logitech Desktop Messenger og "fixe" denne med HjackThis:

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programmer\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

Det er nu i små-tings afdelingen.

Du bør opdatere din Adobe Reader til version 9.x
Avatar billede poes Novice
27. maj 2009 - 12:01 #22
Værsgo. Tak for rådet. Jeg har et trådløst Logitech keyboard, kan det godt køre uden Desktop Messenger?
Avatar billede f-arn Guru
27. maj 2009 - 12:16 #23
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmer\Logitech\SetPoint\SetPoint.exe

Hvis du kan engelsk så prøv at læse her:

http://www.systemlookup.com/Startup/5563-SetPoint_exe.html

Du kan også bare lade dem være!
Avatar billede f-arn Guru
27. maj 2009 - 12:28 #24
Den setpoint mener jeg selvfølgelig ikke skal fjernes. Det var kun Desktop Messenger jeg synes du skulle overveje.
Avatar billede poes Novice
27. maj 2009 - 15:37 #25
Ok, jeg kigger på det. Endnu en gang tak for hjælpen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:37 Kunstig Enteligents For Synshandicappede Af tobberjas i Andre onlineløsninger
I dag 08:33 Bundkort bipper 1 lang 3 korte efter jeg har gået tilbage til optimal settings Af DanishBear i Andet hardware
I går 14:24 Nulstilling af iPhone - tracking? Af Peter S i iOS, iPhone & iPad
I går 12:34 Book et mødelokale ved en invitation Af Hek i E-mail programmer
I går 10:26 Formel med tre kriterier Af Pletz123 i Excel
White papers
Flere white papers »


Premium
Teaser billede
Efter kåring som Danmarks bedste Microsoft-partner for andet år i træk: "Der kom sindssygt mange reaktioner"
Læs mere »
AWS' omdømme får tæsk i årets Image-undersøgelse - og selskabet nægter at kommentere på hvorfor
Nye detaljer om EU-Parlamentets datalæk: Straffeattester og pas var blandt lækkede data
Datatyveriet mod Netcompany rammer selskabets omdømme: "Det kan være enormt svært at betale af"
Se alle »
Computerworld
Teaser billede
Så nemt er det at knække et kodeord på otte tegn
Læs mere »
Første resultater: Så meget bedre er de særlige ’Copilot+’ pc’er
Microsofts udfordrer Apples Macbook med en helt ny generation af Surface-enheder: Bliver 90 procent hurtigere
Chip-kæmpers besked til USA: Vi kan lukke taiwansk chip-produktion ned på afstand
Se alle »
CIO
Teaser billede
De bedste i Danmark: Se vinderne af de 15 kategorier ved Microsoft Partner Awards
Læs mere »
Her er Danmarks bedste Microsoft-Partner: Fellowmind vinder for andet år i træk
I sidste øjeblik: Danmarkshistoriens største GDPR-retssag mod det offentlige udskydes på ubestemt tid
Har fået nok af kunders ringe sikkerhed: Nu skal alle Azure-brugere tvinges til multifaktor-login
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Google fyrer hele sit Python-team
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
SASE: Træf det rette valg – første gang
Sådan høster du forretningsfordelene ved Internet of Things
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »