Virus angreb. hvordan identificere jeg virusen

heny denne på den raske pc og instaler på den syge der er en vejledning på siden.
http://vil.nai.com/vil/stinger/

hent

Hent Ccleaner her > Klik ude til højre på "Download Latest Version".
http://www.filehippo.com/download_ccleaner/
Der er en manual her > http://www.spywarefri.dk/manualer/ccleaner-manual.htm
Der er en lille forskel "Problemer" er udskiftet med "Register".
Sæt de flueben som vist i manualen punkt 11 inden du kører "Renser".
PS.: Dette program vil  jeg anbefale dig at beholde, det er fremragende til at rydde op med.

Under installationen får du tilbudt [Yahoo Toolbar]. Sig "Nej"  til den.
Lad programmer foretage en oprydning i Renser og Register, og lad den slette det den finder.
Jeg skal ikke se log fra Ccleaner.



Hent Malwarebytes Anti-Malware herfra:
http://www.malwarebytes.org/mbam-download.php
Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind.

Tak for de hurtige svar:
Jeg har kørt stinger uden resultat. dens virusfil er ikke mere end 14 dage gammel og så vidt jeg kan se er det program der har startet hele misseren fra 2005 hvis man kan stole på det.
jeg har også kørt ccleaner som jeg godt kender i forvejen. det hjalp heller ikke.
det sidste program Malwarebytes Anti-Malware kan jeg jo ikke bruge da det SKAL opdateres og dermed kommer min computer på internettet.
virusen er humoristisk. Nu hvor jeg har isoleret computeren fra nettet. hver gang jeg genstarter går der lidt tid og så dukker en popup skærm op der fortæller at virusen (benevnt med navne der ikke kan googles med held) ikke virker og derfor skal jeg gå på nettet for at hente en vejledning.
Hver gang jeg slår avast til afmontere virusen avast med det samme så virusen har det godt

Det lyder spændende    :-)


Hent DDS på den raske computer, og gem programmet på den inficerede computer,  på dit Skrivebord:
http://download.bleepingcomputer.com/sUBs/dds.scr
Dobbeltklik på DDS.scr og tillad programmet at køre.
Når programmet er færdig vil det åbne to logs/tekst-filer.
Gem begge filer på dit Skrivebord og kopier indholdet af txt filerne herind i dit næste indlæg.

Da de er forholdsvis lange, kan du blive nødt til at sende dem i flere indlæg.

Hvor maget fjerner Malwarebytes uden at blive opdateret?
Du skriver at virus er fra 2005. Så gammel er download fil ikke fra Malwarebytes. Højst et par måneder.

Efter at have læst dine indlæg igennem igen tror jeg ikke mere at det drejer sig om virus den har jo heller intet navn jeg mener du skal slette dine browserdata i IE gå derefter i kør skriv msconfig og under fanen start deaktiver alle og sæt kun flueben i dit antivirus program.Du kunne også gendanne din PC til før problemet opstod.

220661
>Du skriver at virus er fra 2005. Så gammel er download fil ikke fra Malwarebytes. Højst et par måneder<
Jeg mente naturligvis alderen på den fil der startede hele hurlumhejet.
poko1
>Efter at have læst dine indlæg igennem igen tror jeg ikke mere at det drejer sig om virus den har jo heller intet navn .. <
Jeg er faktisk sikker på at det er en virus, måske en der er så ny at den ikke er " opdaget" endnu af virusfolket. den opføre sig ialtfald som een. Det at den skjuler sig under seudonym som ikke kan googles samt at den vil på nettet tyder altså på det.
magictouch
de næste mange indlæg kommer til at handle om de logfiler jeg har optageet med dds

DDS tekst
DDS (Ver_10-03-17.01) - NTFSX64 
Run by Timo at 18:05:45,11 on 30-05-2010
Internet Explorer: 8.0.6001.18904 BrowserJavaVersion: 1.6.0_20
Microsoft® Windows Vista™ Ultimate  6.0.6002.2.1252.45.1033.18.4094.2550 [GMT 2:00]

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\nvvsvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Windows\SysWOW64\svchost.exe -k hpdevmgmt
C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Live Mesh\Remote Desktop\wlcrasvc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Program Files (x86)\Siber Systems\AI RoboForm\robotaskbaricon.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files (x86)\Creative\USB Headsets\Volume Panel\VolPanlu.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\Secunia\PSI\psi.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Windows\system32\wbem\wmiprvse.exe

Attach.txt
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-03-17.01)

Microsoft® Windows Vista™ Ultimate
Boot Device: \Device\HarddiskVolume1
Install Date: 07-01-2009 20:01:38
System Uptime: 30-05-2010 15:13:00 (3 hours ago)

Motherboard: ASUSTeK Computer INC. |  | P5N32-E SLI
Processor: Intel(R) Core(TM)2 Quad  CPU  Q9300  @ 2.50GHz | Socket 775 | 2500/333mhz

==== Disk Partitions =========================

A: is Removable
C: is FIXED (NTFS) - 149 GiB total, 83,036 GiB free.
D: is FIXED (NTFS) - 699 GiB total, 146,779 GiB free.
E: is CDROM ()
F: is CDROM ()
K: is Removable

==== Disabled Device Manager Items =============

Class GUID:
Description: SCSI-controller
Device ID: PCI\VEN_1191&DEV_8040&SUBSYS_80401191&REV_01\4&276FBEC1&0&3878
Manufacturer:
Name: SCSI-controller
PNP Device ID: PCI\VEN_1191&DEV_8040&SUBSYS_80401191&REV_01\4&276FBEC1&0&3878
Service:

==== System Restore Points ===================

RP624: 30-05-2010 04:26:16 - Scheduled Checkpoint

==== Installed Programs ======================

Adobe AIR
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Media Player
Adobe Photoshop Elements 7.0
Adobe Reader 9.3.2 - Dansk
AI RoboForm (All Users)
AIO_Scan
AoA DVD Ripper
Apple Application Support
Apple Software Update
avast! Antivirus
BufferChm
CCleaner
Copy
Creative ALchemy
Creative Media Toolbox 6
Creative Media Toolbox 6 (Shared Components)
Creative MediaSource 5
Creative Software AutoUpdate
Creative System Information
Creative USB Headsets
Creative WaveStudio 7
CustomerResearchQFolder
Destination Component
DeviceDiscovery
DeviceManagementQFolder
Digital Signatur
DJ_AIO_ProductContext
DJ_AIO_Software
DJ_AIO_Software_min
Driver Whiz
Eraser
eSupportQFolder
Excel Recovery Toolbox 1.4
F4100
F4100_doccd
F4100_Help
FileZilla Client 3.3.1
Futuremark SystemInfo
Glary Utilities 2.21.0.863
Google Earth
Google Toolbar for Internet Explorer
Google Update Helper
Google Updater
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
HP Product Assistant
HP Smart Web Print
HP Smart Web Printing
HP Update
HPPhotoSmartDiscLabelContent1
HPPhotosmartEssential
HPProductAssistant
HPSSupply
Java Auto Updater
Java(TM) 6 Update 20
K-Lite Codec Pack 4.6.1 (Full) BETA
Live Mesh
Magic DVD Ripper V5.4.2
MarketResearch
McAfee SiteAdvisor
Microsoft Choice Guard
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (Danish) 2007
Microsoft Office Access MUI (English) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (Danish) 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Groove MUI (Danish) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (Danish) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office Language Pack 2007 - Danish/dansk
Microsoft Office O MUI (Danish) 2007
Microsoft Office OneNote MUI (Danish) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office Outlook MUI (Danish) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office PowerPoint MUI (Danish) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office Proof (Danish) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (Danish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (Danish) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Shared MUI (Danish) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office SharePoint Designer 2007 Service Pack 2 (SP2)
Microsoft Office SharePoint Designer MUI (Danish) 2007
Microsoft Office Word MUI (Danish) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Office X MUI (Danish) 2007
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Visual C++ 2005 Redistributable
Miro
Mozilla Firefox (3.5.8)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
NetMeter 1.1.3
Opdatering til Microsoft Office Excel 2007 Help (KB963678)
Opdatering til Microsoft Office Powerpoint 2007 Help (KB963669)
Opdatering til Microsoft Office Word 2007 Help (KB963665)
Overførselsværktøj til Windows Live
Polar Rose IE Plugin (v0.12.0)
PSRemote
PSSWCORE
QuickTime
Registry Mechanic 9.0
Revo Uninstaller 1.88
Scan
Secunia PSI
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for 2007 Microsoft Office System (KB978380)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office Excel 2007 (KB978382)
Security Update for Microsoft Office Outlook 2007 (KB972363)
Security Update for Microsoft Office PowerPoint 2007 (KB957789)
Security Update for Microsoft Office Publisher 2007 (KB980470)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB969613)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Shareaza 2.5.2.0
Skype Toolbars
Skype™ 4.2
SolutionCenter
SpeedFan (remove only)
Spelling Dictionaries Support For Adobe Reader 9
Status
SubSync
TomTom HOME 2.7.3.1894
TomTom HOME Visual Studio Merge Modules
Toolbox
Total Commander (Remove or Repair)
TrayApp
UnloadSupport
Update for 2007 Microsoft Office System (KB967642)
Update for 2007 Microsoft Office System (KB981715)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office 2007 Help for Common Features (KB963673)
Update for Microsoft Office Access 2007 Help (KB963663)
Update for Microsoft Office Excel 2007 Help (KB963678)
Update for Microsoft Office InfoPath 2007 (KB976416)
Update for Microsoft Office Infopath 2007 Help (KB963662)
Update for Microsoft Office OneNote 2007 (KB980729)
Update for Microsoft Office OneNote 2007 Help (KB963670)
Update for Microsoft Office Outlook 2007 Help (KB963677)
Update for Microsoft Office Powerpoint 2007 Help (KB963669)
Update for Microsoft Office Publisher 2007 Help (KB963667)
Update for Microsoft Office Script Editor Help (KB963671)
Update for Microsoft Office Word 2007 (KB974561)
Update for Microsoft Office Word 2007 Help (KB963665)
Update for Outlook 2007 Junk Email Filter (kb981726)
VideoToolkit01
VisualRoute Lite Edition
VLC media player 0.9.9
Vuze
WebReg
Windows 7 Upgrade Advisor
Windows Live Communications Platform
Windows Live Essentials
Windows Live Messenger
Windows Live Movie Maker
Windows Live Photo Gallery
Windows Live Sign-in Assistant
Windows Live Sync
WinRAR archiver
Xvid 1.1.3 final uninstall

==== End Of File ===========================

Haleluja - ved ihærdig sporing har jeg nu fundet ud af at virusen hedder "winupgro.exe". (det står faktisk med småt i den skærm programmes sender op med besked om at det VIL på internettet). når jeg googler denne virus er der flere henvisninger til hvordan den fjernes men det kræver indkøb for mange dollars programmer.
kan i foreslå gratis programmer til at fjerne den. eller brugelige vejledninger, helst på dansk.
i spørger nok også hvorfor jeg ikke har kontaktet AvastHome. det har jeg prøvet men de udsteder åbenbart ingen support ticket til brugere af det gratis avast home.

"Haleluja - ved ihærdig sporing har jeg nu fundet ud af at virusen hedder "winupgro.exe"


Fint    ;-)


Men vil du ikke godt send en HEL DDS txt log heind, for der mangler temmelig meget i den første du sendte ind.

Resten af DDS.txt:
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\SearchProtocolHost.exe
K:\DDS - logfileoptager\dds.scr

så vidt jeg kan se har du fået hele Attach.txt.
men, for interesserede, her er den fejlmeddelelse virusen kommer med når den bønfalder om at komme på nettet. Det er meget microsoftagtigt ud men måske røber dette noget for den kyndige om hvor den har lagt div. fjentlige dll filer:

31-05-2010
Ved manglen de kontakt til internettet kommer virusen op med et meget officielt microsoftdesign af en fejlmeddellese. Når man kikker i "Problemdetaljer" får man nedenstående (dette blev optaget i går d. 30.:

Problemsignatur:
Navn på problemhændelse APPCRASH
Programnavn: winupgro.exe
Programversion: 3.1.0.0
Tidssternpel for program: 4bfa8ab5
Fejimodulnavn: kernel32.dII
Fejimodulversion: 6,0.6002.18005
Tidsstempel for fejImodu: 49e038c0
Undtagelseskode c0000005
Undtagelsestorskydning: 0008d547
OS-version: 6.0.6002.2.2.0.256.1
Landestandard-id: 1030
Yderligere oplysninger 1: fd00
Yderligere oplysninger 2: ea6f5fe8g24aaa756324d57f3733416')
Yderligere oplysninger 3: fdOO
Yderligere oplysninger 4: ea6f5fe8924aaa756324d57f87834160
læs erklæringen om beskyttelse at personlige oplysninger http://go.microsft.com/fwlink/?linkid=50163&clcid=0x0406

Håber det virker inspirerende og jeg håber i kan bruge det til noget.

Hvorfor ikke bruge en firewall der kan forhindre virussen i at komme på nettet, og så opdatere malwarebytes og scanne med denne?

john_stigers
Det lyder som en interessant tanke.- Jeg har en firewall men som jeg ooplever dens virkemåde så holder den ting ude men IKKE når tingene bliver inviteret indenfor af virusprogrammet på PC'en. Jeg mener altså ikke den vil være efektiv med mindre man kender de porte, invitationerne til Virus moderen bliver distribueret igennem. Lukker man alle porte kan man ikke hente opdateringer af malwarebytes og åbner man de mest almindelige porte er muligheden for at modtage "spændende gæster" temmelig stor som situationen er lige nu. men har jeg misforstået noget og har du et forslag til at stille på firewallen så er jeg bestemt interesseret.

Et Under skete - Hosiana i det høje. Jeg er ved at finde ud af hvordan jeg måske kan få gang i Avast (virusprogrammet) desverre kun til jeg genstarter ;-)
REN start virker på winupgro.exe
Msconfig.exe : Da jeg slog tjennester fra forsvandt mine problemer men desværre forsvandt Avast fra proces linjen også uanset om jeg tjekkede at den var slået til i mit forsøg på at finde den skyldige tjeneste. Alt opførte sig underligt. Tjenester jeg havde slået til viste sig ikke at virke osv. Selv om jeg slog alle tjenester til dukkede avast ikke op på proceslinien. Først da jeg kørte "normal start"  virkede alt som før. Dog virker Avast nu tilsyneladende. dog er avast nu slået fra igen når man kikker under mappen computer (højreklik) administrer/tjenester og programmer/tjenester

Jeg installerede et virusdræber program (trial) Safe Returner 1.2.2 det fandt fire inficerede filer. heldigvis filer der let kan skaffes. Men det fandt IKKE roden til alt ondt winupgro.exe.
Efter den følgende genstart var det dødt. Virusen tillader ikke at det på nogen måde kan bruges.

ved ihærdig roden (analyse) nåede jeg frem til at filen winupgro.exe er skjult uanset om man slår vis skjulte systemfiler eller vis endelser til.
men ved at søge på filen fra Start/søg så fandt jeg den og med lidt klikken frem og tilbage fandt jeg ud af at den ligger her:
Søgning viser placeringen: c:\Users\goglov\AppData\Roaming\drivers OBS! :  \Roaming\drivers er usynlige
Søges på: roaming\drivers dukker indholdet af mappen drivers op med den famøse fil. : C:\users\timo\appdata\roaming\drivers
det er mappen: roaming\drivers der er skjult når man på normal måde kikker i AppData.

Nu er mit dilemma: tør jeg omdøbe(lukke) mappen roming der indeholder programmet winupgro.exe og en mappe: download, som heldigvis er tom så programmet isoleres eller starter jeg et helvede på jord idet det er en yderst kompetent bagdørsvirus vi har her.
se den saftige beskrivelse af alle dens exesser:
http://greatis.com/blog/index.php?s=winupgro.exe
Lukker jeg for den - vordan fjerner jeg alle de vemmelige ting der nu er strøet rundt omkring. jeg har ikke meget mod på at gå igang med den lange liste med indgreb i databasen osv.

ps: er der nogen der ved hvordan jeg får gang i Microsoft Defender: klikker jeg på "Sikkerhedscenter", som naturligvis er slået fra, så får jeg følgende fejlbesked: "Tjenesten Sikkerhedscenter kan ikke startes".

... dvs. du 'præcist' kan se omtalte fil ?

Boot op i "Fejlsikker Tilstand" og (forsøg at) slette FILEN derfra ?

Hvorfor kommer du ikke med en ny log fra DDS.
Den logfil DDS.TXT er meget længere end det du har lagt ind, måske du skal lægge den ind over flere gange.

Du skal rette mappevisning til "Vis skjulte filer og mapper".

sullep
DDS tekst er i 2 stykker og den er ikke længere. Skal den være længere så er der noget der er skjult for DDS. jeg vedlægger nu DDS2.txt sammenligner man disse 2 opdager man store forskelle.
2'eren er lavet EFTER jeg i Systemkonfig. har slået virusen fra.
pt. kan jeg ikke huske navnet på henvisningen, men jeg kendte stien til virusen. det er vigtigt at jeg IKKE har genstartet endnu.Det program hvormed jeg laver skærmbilleder og notater er ikke tilgængeligt (desverre).
næsste punkt er vel at rense reg filen.
derfor, er der nogen der kan sige hvad denne reg fil hedder idag?
jeg er noget rusten, det er faktisk år imellem at jeg foretager en så grundig analyse efter vira. det er faktisk meget sjældent jeg har sådanne som jeg ikke relativt nemt kan fjerne.
jeg har tenkt mig at tage en kopi og erstatte den med en backup af en gammel reg fil. jeg vil gerne have mine programmer tilbage ;-) eller tror i på at programmet: Regtweaker gratisversionen kan klare det. (det siger man ude på nettet ;-)

DDS2.txt
DDS (Ver_10-03-17.01) - NTFSX64 
Run by Timo at  1:31:34,98 on 02-06-2010
Internet Explorer: 8.0.6001.18904 BrowserJavaVersion: 1.6.0_20
Microsoft® Windows Vista™ Ultimate  6.0.6002.2.1252.45.1033.18.4094.1746 [GMT 2:00]

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\nvvsvc.exe
C:\Program Files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Windows\SysWOW64\svchost.exe -k hpdevmgmt
C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe
C:\Windows\System32\svchost.exe -k HPZ12
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Live Mesh\Remote Desktop\wlcrasvc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Siber Systems\AI RoboForm\robotaskbaricon.exe
C:\Program Files (x86)\Secunia\PSI\psi.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files (x86)\Registry Mechanic\RegMech.exe
K:\DDS - logfileoptager\dds.scr
C:\Windows\SysWOW64\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.dk/
mLocal Page = c:\windows\syswow64\blank.htm
uInternet Settings,ProxyOverride = *.local
mWinlogon: Userinit=userinit.exe
BHO: Shareaza Web Download Hook: {0eedb912-c5fa-486f-8334-57288578c627} - c:\program files (x86)\shareaza\RazaWebHook32.dll
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files (x86)\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: RoboForm: {724d43a9-0d85-11d4-9908-00400523e39a} - c:\program files (x86)\siber systems\ai roboform\roboform.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files (x86)\microsoft office\office12\GrooveShellExtensions.dll
BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files (x86)\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files (x86)\google\google toolbar\GoogleToolbar_32.dll
BHO: Skype add-on for Internet Explorer: {ae805869-2e5c-4ed4-8f7b-f1f7851a4497} - c:\program files (x86)\skype\toolbars\internet explorer\skypeieplugin.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files (x86)\google\googletoolbarnotifier\5.2.4204.1700\swg.dll
BHO: McAfee SiteAdvisor BHO: {b164e929-a1b6-4a06-b104-2cd0e90a88ff} - c:\progra~2\mcafee\sitead~1\mcieplg.dll
BHO: PolarRoseBHO Class: {b35f3ae1-45ab-4b45-9e1f-ce422a55a809} - c:\program files (x86)\polar rose ie plugin\PolarRoseIEPlugin.dll
BHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\program files (x86)\google\google toolbar\component\fastsearch_B7C5AC242193BB3E.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files (x86)\java\jre6\bin\jp2ssv.dll
BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files (x86)\hp\digital imaging\smart web printing\hpswp_BHO.dll
TB: &RoboForm: {724d43a0-0d85-11d4-9908-00400523e39a} - c:\program files (x86)\siber systems\ai roboform\roboform.dll
TB: McAfee SiteAdvisor Toolbar: {0ebbbe48-bad4-4b4c-8e5a-516abecae064} - c:\progra~2\mcafee\sitead~1\mcieplg.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files (x86)\google\google toolbar\GoogleToolbar_32.dll
TB: {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
uRun: [msnmsgr] "c:\program files (x86)\windows live\messenger\msnmsgr.exe" /background
uExplorerRun: [MsnMsgr] "c:\program files (x86)\windows live\messenger\MsnMsgr.Exe" /background
uExplorerRun: [RoboForm] "c:\program files (x86)\siber systems\ai roboform\RoboTaskBarIcon.exe"
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-explorer: ForceActiveDesktopOn = 0 (0x0)
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Download with &Shareaza - c:\program files (x86)\shareaza\RazaWebHook64.dll/3000
IE: E&xport to Microsoft Excel - c:\progra~2\micros~1\office12\EXCEL.EXE/3000
IE: Gem formularer - file://c:\program files (x86)\siber systems\ai roboform\RoboFormComSavePass.html
IE: RF værktøjslinie - file://c:\program files (x86)\siber systems\ai roboform\RoboFormComShowToolbar.html
IE: Tilpas RF menu - file://c:\program files (x86)\siber systems\ai roboform\RoboFormComCustomizeIEMenu.html
IE: Udfyld formularer - file://c:\program files (x86)\siber systems\ai roboform\RoboFormComFillForms.html
IE: {320AF880-6646-11D3-ABEE-C5DBF3571F46} - c:\program files (x86)\siber systems\ai roboform\RoboFormComFillForms.html
IE: {320AF880-6646-11D3-ABEE-C5DBF3571F49} - c:\program files (x86)\siber systems\ai roboform\RoboFormComSavePass.html
IE: {724d43aa-0d85-11d4-9908-00400523e39a} - c:\program files (x86)\siber systems\ai roboform\RoboFormComShowToolbar.html
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~2\micros~1\office12\ONBttnIE.dll
IE: {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files (x86)\skype\toolbars\internet explorer\skypeieplugin.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~2\micros~1\office12\REFIEBAR.DLL
IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files (x86)\hp\digital imaging\smart web printing\hpswp_BHO.dll
Trusted Zone: danid.dk
Trusted Zone: secunia.com\psi
Trusted Zone: danid.dk
DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} - hxxps://www.basisbank.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.30.cab
DPF: {19D6A3D5-EA50-4C3B-88F0-79627C325570} - hxxp://iloapp.ras-cel.dk/gallery/executable/IlosoftMultipleImageUpload.dll
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {A3E21079-7F41-4125-9EBB-FD44CFCC0AC1} - hxxps://www.mesh.com/0.9.3424.31/TSWeb.cab
DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} - hxxp://support.f-secure.com/ols/fscax.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - hxxp://service.futuremark.com/virtualmark/tc/FMSI.cab
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/digitalsignatur-csp.exe
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files (x86)\microsoft office\office12\GrooveSystemServices.dll
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\progra~2\mcafee\sitead~1\McIEPlg.dll
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - c:\program files (x86)\skype\toolbars\internet explorer\skypeieplugin.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~2\common~1\skype\SKYPE4~1.DLL
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files (x86)\microsoft office\office12\GrooveShellExtensions.dll
{0EEDB912-C5FA-486F-8334-57288578C627}
{AA58ED58-01DD-4d91-8333-CF10577473F7}
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
{B164E929-A1B6-4A06-B104-2CD0E90A88FF}
{DBC80044-A445-435b-BC74-9C25C1C588A9}
{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064}
{32099AAC-C132-4136-9E9A-4E364A424E17}
{2318C2B1-4965-11d4-9B18-009027A5CD4F}
TB-X64: {724D43A0-0D85-11D4-9908-00400523E39A} - No File
mRun-x64: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

================= FIREFOX ===================

FF - ProfilePath - c:\users\timo\appdata\roaming\mozilla\firefox\profiles\nuao6uyf.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Google Powered Search
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=
FF - component: c:\program files (x86)\mcafee\siteadvisor\components\McFFPlg.dll
FF - component: c:\program files (x86)\siber systems\ai roboform\firefox\components\rfproxy_31.dll
FF - component: c:\users\timo\appdata\roaming\mozilla\firefox\profiles\nuao6uyf.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\FFExternalAlert.dll
FF - component: c:\users\timo\appdata\roaming\mozilla\firefox\profiles\nuao6uyf.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}\components\RadioWMPCore.dll
FF - plugin: c:\program files (x86)\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files (x86)\google\google updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files (x86)\google\update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files (x86)\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files (x86)\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files (x86)\windows live\photo gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files (x86)\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files (x86)\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".dk");

============= SERVICES / DRIVERS ===============

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2010-1-6 89680]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files (x86)\adobe\photoshop elements 7.0\PhotoshopElementsFileAgent.exe [2008-9-16 169312]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-1-6 22096]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-1-6 65616]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files (x86)\mcafee\siteadvisor\McSACore.exe [2009-1-12 203280]
R2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\program files (x86)\common files\pc tools\smonitor\StartManSvc.exe [2010-3-7 632792]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\tomtom home 2\TomTomHOMEService.exe [2009-11-13 92008]
R2 wlcrasvc;Live Mesh Remote Desktop;c:\program files\live mesh\remote desktop\wlcrasvc.exe [2009-4-14 51024]
R3 DKRtWrt;DKRtWrt;c:\windows\system32\drivers\DKRtWrt.sys [2010-4-2 51120]
R3 RDPDISPM;RDPDISPM;c:\windows\system32\drivers\rdpdispm.sys [2009-4-14 10576]
R3 skfiltv;skfiltv;c:\windows\system32\drivers\skfiltv.sys [2009-10-2 24064]
S2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast4\ashServ.exe [2010-1-6 138680]
S2 avast! Mail Scanner;avast! Mail Scanner;c:\program files\alwil software\avast4\ashMaiSv.exe [2010-1-6 254040]
S2 avast! Web Scanner;avast! Web Scanner;c:\program files\alwil software\avast4\ashWebSv.exe [2010-1-6 352920]
S2 gupdate1c98b9b7eb21c0;Google Update Service (gupdate1c98b9b7eb21c0);c:\program files (x86)\google\update\GoogleUpdate.exe [2009-2-10 133104]
S3 clr_optimization_v2.0.50727_64;Microsoft .NET Framework NGEN v2.0.50727_X64;c:\windows\microsoft.net\framework64\v2.0.50727\mscorsvw.exe [2009-9-11 89920]
S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\common files\creative labs shared\service\AL6Licensing.exe [2009-10-3 79360]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\common files\creative labs shared\service\CTAELicensing.exe [2009-10-2 79360]
S3 Creative Media Toolbox 6 Licensing Service;Creative Media Toolbox 6 Licensing Service;c:\program files (x86)\common files\creative labs shared\service\MT6Licensing.exe [2009-10-2 79360]
S3 FontCache;Windows Font Cache Service;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 27648]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\microsoft fix it center\Matsvc.exe [2010-4-10 342320]
S3 PerfHost;Performance Counter DLL Host;c:\windows\syswow64\perfhost.exe [2008-1-21 19968]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2009-6-17 15208]
S3 Revoflt;Revoflt;c:\windows\system32\drivers\revoflt.sys [2010-2-23 31800]

============== File Associations ===============

JSEFile=c:\windows\syswow64\WScript.exe "%1" %*

=============== Created Last 30 ================

2010-06-01 23:31:02    0    --sha-w-    C:\DkHyperbootSync
2010-06-01 17:16:39    0    d-----w-    c:\program files (x86)\Safe Returner
2010-06-01 12:44:52    25680    ----a-w-    c:\windows\system32\drivers\aavmker4.sys
2010-06-01 12:07:56    0    d-----w-    c:\windows\pss
2010-06-01 00:38:27    0    d-----w-    c:\users\timo\appdata\roaming\SafeReturner
2010-05-30 00:14:08    0    d-----w-    c:\program files (x86)\CCleaner
2010-05-29 01:24:58    0    d--h--w-    c:\users\timo\appdata\roaming\drivers
2010-05-26 20:51:40    0    d-----w-    c:\program files (x86)\Excel Recovery Toolbox
2010-05-26 12:31:06    2048    ----a-w-    c:\windows\syswow64\tzres.dll
2010-05-26 12:31:06    2048    ----a-w-    c:\windows\system32\tzres.dll
2010-05-25 13:08:03    0    d-----w-    c:\windows\MATS
2010-05-25 13:08:01    0    d-----w-    c:\program files\Microsoft Fix it Center
2010-05-25 13:07:27    0    d-----w-    c:\windows\syswow64\WindowsPowerShell
2010-05-25 13:05:19    65536    ----a-w-    c:\windows\ocsetup_cbs_install_MicrosoftWindowsPowerShell.dpx
2010-05-25 13:05:19    327680    ----a-w-    c:\windows\ocsetup_cbs_install_MicrosoftWindowsPowerShell.perf
2010-05-25 13:05:18    4259840    ----a-w-    c:\windows\ocsetup_install_MicrosoftWindowsPowerShell.etl
2010-05-25 13:04:37    65536    ----a-w-    c:\windows\ocsetup_cbs_install_MicrosoftWindowsPowerShell2.dpx
2010-05-25 13:04:37    4325376    ----a-w-    c:\windows\ocsetup_install_MicrosoftWindowsPowerShell2.etl
2010-05-25 13:04:37    196608    ----a-w-    c:\windows\ocsetup_cbs_install_MicrosoftWindowsPowerShell2.perf
2010-05-17 23:48:31    411368    ----a-w-    c:\windows\syswow64\deployJava1.dll
2010-05-17 23:48:31    153376    ----a-w-    c:\windows\syswow64\javaws.exe
2010-05-17 23:48:31    145184    ----a-w-    c:\windows\syswow64\javaw.exe
2010-05-17 23:48:31    145184    ----a-w-    c:\windows\syswow64\java.exe
2010-05-12 09:30:02    974848    ----a-w-    c:\windows\system32\inetcomm.dll
2010-05-12 09:30:01    738816    ----a-w-    c:\windows\syswow64\inetcomm.dll
2010-05-03 13:03:54    0    d-----w-    c:\program files\iPod
2010-05-03 13:03:52    0    d-----w-    c:\program files\iTunes
2010-05-03 13:00:52    0    d-----w-    c:\program files\Bonjour
2010-05-03 13:00:52    0    d-----w-    c:\program files (x86)\Bonjour

==================== Find3M  ====================

2010-06-01 17:53:17    78002    ----a-w-    c:\windows\system32\perfc006.dat
2010-06-01 17:53:17    466144    ----a-w-    c:\windows\system32\perfh006.dat
2010-06-01 17:46:14    34805    ----a-w-    c:\programdata\nvModes.dat
2010-05-12 09:21:16    270208    ------w-    c:\windows\system32\MpSigStub.exe
2010-04-28 18:18:56    86016    ----a-w-    c:\windows\inf\infstor.dat
2010-04-28 18:18:56    51200    ----a-w-    c:\windows\inf\infpub.dat
2010-04-28 18:18:56    143360    ----a-w-    c:\windows\inf\infstrng.dat
2010-04-08 11:33:00    95520    ----a-w-    c:\windows\system32\dnssd.dll
2010-04-08 11:33:00    119584    ----a-w-    c:\windows\system32\dns-sd.exe
2010-04-08 11:20:02    91424    ----a-w-    c:\windows\syswow64\dnssd.dll
2010-04-08 11:20:02    107808    ----a-w-    c:\windows\syswow64\dns-sd.exe
2010-04-03 16:42:00    159336    ----a-w-    c:\windows\system32\nvvsvc.exe
2010-04-03 16:42:00    14828648    ----a-w-    c:\windows\system32\nvcpl.dll
2010-04-03 16:42:00    116328    ----a-w-    c:\windows\system32\nvmctray.dll
2010-04-03 16:42:00    1067624    ----a-w-    c:\windows\system32\nvsvc64.dll
2010-03-21 15:48:49    56    ---ha-w-    c:\programdata\ezsidmv.dat
2010-03-05 14:32:42    612864    ----a-w-    c:\windows\system32\vbscript.dll
2010-03-05 14:01:02    420352    ----a-w-    c:\windows\syswow64\vbscript.dll
2009-10-29 10:00:32    665600    ----a-w-    c:\windows\inf\drvindex.dat
2009-01-07 20:58:10    36364    ----a-w-    c:\windows\inf\perflib\0406\perfd.dat
2009-01-07 20:58:10    36364    ----a-w-    c:\windows\inf\perflib\0406\perfc.dat
2009-01-07 20:58:10    300302    ----a-w-    c:\windows\inf\perflib\0406\perfi.dat
2009-01-07 20:58:10    300302    ----a-w-    c:\windows\inf\perflib\0406\perfh.dat
2008-01-21 03:21:14    174    --sha-w-    c:\program files\desktop.ini
2008-01-21 03:21:14    174    --sha-w-    c:\program files (x86)\desktop.ini
2006-11-02 15:14:32    30674    ----a-w-    c:\windows\inf\perflib\0409\perfd.dat
2006-11-02 15:14:32    30674    ----a-w-    c:\windows\inf\perflib\0409\perfc.dat
2006-11-02 15:14:32    287440    ----a-w-    c:\windows\inf\perflib\0409\perfi.dat
2006-11-02 15:14:32    287440    ----a-w-    c:\windows\inf\perflib\0409\perfh.dat
2006-11-02 10:52:12    287440    ----a-w-    c:\windows\inf\perflib\0000\perfi.dat
2006-11-02 10:52:12    287440    ----a-w-    c:\windows\inf\perflib\0000\perfh.dat
2006-11-02 10:52:10    30674    ----a-w-    c:\windows\inf\perflib\0000\perfd.dat
2006-11-02 10:52:10    30674    ----a-w-    c:\windows\inf\perflib\0000\perfc.dat
2010-01-04 21:34:35    16384    --sha-w-    c:\windows\serviceprofiles\localservice\appdata\local\temp\cookies\index.dat
2010-01-04 21:34:35    16384    --sha-w-    c:\windows\serviceprofiles\localservice\appdata\local\temp\history\history.ie5\index.dat
2010-01-04 21:34:35    32768    --sha-w-    c:\windows\serviceprofiles\localservice\appdata\local\temp\temporary internet files\content.ie5\index.dat
2010-02-22 18:31:38    245760    --sha-w-    c:\windows\serviceprofiles\localservice\appdata\roaming\microsoft\windows\ietldcache\index.dat
2009-10-28 18:21:38    245760    --sha-w-    c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\ietldcache\index.dat
2008-04-10 00:57:02    8192    --sha-w-    c:\windows\users\default\NTUSER.DAT

============= FINISH:  1:31:59,35 ===============

karise_larry og i andre - HJÆLP
Virusen er nu slået fra i system - MEN
Nu skal virusen myrdes - men hvordan? jeg har kikket nærmere på den skjulte mappe "Roaming" der indeholder selve filen foruden en hel masse filer der ser ud som om de er hentet rundt omkring fra div programmer.
det er altså mappen "Roaming" der skal slettes fra fejlsikker tilstand.
desverre tillades ikke adgang til fejlsikker tilstand (F8) man ledes hen til den site hvor man kan vælge hvilken disk en boot kan foregå fra.
Kan nogen hjælpe mig med at skaffe adgang til Fejlsikker tilstand.
i de gode gamle dage brugte jeg et lille program der ophævede "beskyttelsen" af "spændende" filer. jeg har glemt hvad det hedder. er det noget i kender til, eller kan i foreslå den engelske søgeterm for et sådant program når man vil google det.
for god ordens skyld skal jeg lige nævne at "Roaming"mappens "Egenskaber" naturligvis viser at der er fuld adgang - hvad der altså ikke er.

http://ccollomb.free.fr/unlocker/

arise_larry - dit link udløser alarm hos mig: Rapporteret usikkert Websted:Navigaation er blokeret - Windows internet Explorer - Det anbefales at du ikke fortsætter til webstedet.
  Gå i stedet til startsiden. hvad gør jeg?

til alle.
Nu har jeg igen rodet med virusen og Konklusion - Forfra
Mappen "Roaming" er åbenbart en mappe i Vista, jeg finder den samme mappe på ikke inficeret pcOgså her er mappen beskyttet mod omdøb osv. Mappen indeholder de samme programmer som på den inficerede computer. Derfor antager jeg at de skal være der.
Derfor må der stadigvæk være noget "Spændende" i gang på min computer
Dette understreges af at efter 2 genstarter er avast Mail skanner og avast Web skanner fra Starttype: Automatisk igen stillet til Starttype: Manuelt.
Og Systemkonfiguration under startfanen: her er navnet på henvisningen ændret fra  Ntimong  til drvsyskit Dog peger stien stadig på  winupgro.exe selvom jeg har omdøbt filen til winupgroXXX.exe
Man må sige at denne virus giver seriøse udfordringer.
Forslag: ud over at omformatere hele drevet.

Du henter programmet. Her i IE får jeg ikke denne fejl. Ej heller i Chrome.

Fik du nogensinde installeret og kørt Malwarebytes? (opdateret eller ej)
Eller synes jeg du skulle gøre det!

Du kan hente en lidt bedre database her:
http://www.malwarebytes.org/mbam/database/mbam-rules.exe

Jeg giver op. suk, støn og tænders gnidsel.

Først tak til f-arn. Jeg har downloadet database-tillæget til Malwarebyte. meget betænksomt.

john_stigers Jeg bruger IE og får fejlen der. SUK

så installerede jeg Malwarebyte på min inficerede maskine med følgende resultat.
før malwarebyte overhovedet gik i gang udløste den følgende fejl:

Malwarebytes Anti- Maiware
En fejl er opstået. Rapporter venligst denne fejlkode til vores hold af
- supportere
MBAMERRORUP DATING (12007,0, WinHttpSendRequest)
OK

men så gik den igang med at skanne og en time efter var programvinduet helt hvidt (ingen forbindelse) hvide vinduer spredte sig til hvad der var åbent på computeren Herunder skrivebordet og man kunne ikke udføre ctrl + Alt + Delete så alt måtte lukkes ned ved at holde tændknappen nede i 10 sek.
det var altså ikke nogen succes.
jeg har forsøgt andre ting uden succes. - Derfor har jeg besluttet at formatre alt. jeg har taget backup af alle mine dokument og billedfiler og lavet en liste over hvilke programmer jeg vil have.
men tak skal i have for jeres støtte - synd at vi ikke kunne finde ud af det.
så må jeg skaffe mig et friskt os.

Når du begynder 'forfra' så opret TO partioner:
Èn til styresystemet + instalerede seriøse programmer
En anden partion til dine EGNE DATA, dokumenter, Mail, Adresser, foto, Lyd/musik, Video, ...

Så vil en (gen)instalation en anden gang IKKE påvirke dine EGNE DATA...

Generelt ->
http://www.helgec.dk/vista-install.html
Husk at få 100% styr på driversoftware + opdateringer + opdateringer + opdateringer ...

PS: Du kunne evt. investere i WIN7 med det samme ?

En hurtig bemærkning om Unlocker (som er et genialt program), for at nævne at goglov sag ikke er enestående, samt for at påpege et alternativt website.

I aftes havde jeg brug for at installere Unlocker på et nyinstalleret XP-system, og IE gav også mig den omtalte advarsel om potentielt skadeligt websted.

Jeg valgte at hente Unlocker fra filehippo.com, som ikke gav advarsler.
http://www.filehippo.com/download_unlocker/

karise_larry - Tak for dit gode, Jeg har allerede 2 partitioner som du beskriver. men det er først nu det rigtig er gået op for mig hvorfor det er en god ide. Dog er iden ikke bedre end at jeg ved kørsel af x har fundet en del vira men IKKE den oprindelige som jeg jo selv har omdøbt.

Vanderen - Tak for linket til unlocker. jeg har lige hentet den

Desverre har jeg nu fundet nogle spændende vira (set på Avast log.fil) der har lagt sig i min .pst fil (mail filen i Outlook. jeg har fundet dem på min "ikke inficerede maskine" :-( øv. og jeg aner ikke hvordann jeg skal rense .pst filen.
så nu har jeg 2 inficerede maskiner og alting ser helt sort ud
bliver det ved på denne måde så får jeg nok selv en virus der dog kan helbredes med en stor wisky:-)

Kort uddrag af Avast warring.lock:
07-05-2010 19:38:44 1273253924 Timo 424 Sign of "Win32: Adware-gen [ADW]" has been found in "C: \ Users \ Timo \ AppData \ Local \ the Microsoft \ Outlook \ Gl Outlook \ Outlook. pst \ Personal Folders \ Top Level of the Personal Folders \ Inbox \ Friends and acquaintances and CHILDREN \ Brian \ ReGet 1.7 \ rgl17.exe \ CTInstall.exe "file.

Behøver jeg at nevne at der er adskillige vira jeg heller ikke kan finde på min "ikke inficerede maskine" - Støn.

Lige en hurtig: Så længe du ikke åbner/starter ...... ReGet 1.7 \ rgl17.exe \ CTInstall.exe filen men bare sletter den ved først givne lejlighed, så er du 'fri' ...

---

Det med den goe' idé: en bil har
* motor+styring+teknik+... foran
* bagage+diverse egne ting bagerst

"Kan du se pointen?"

Status indtil nu. Det er nu kon for leg at jeg stadig forsøger at fjerne vemmelige filer fra min "Hoved computer" og i den andledning må jeg erkende at Malwarebyte indtil nu er det bedste program jeg har set. ene af alde fastholdt det sin intrigitet selv om det blev sendt til tælling første gang jeg kørte det. da jeg kørte det anden gang (det eneste program der køre 2 gang) så fandt det 7 væmmelige filer som det fjernede. dog ikke selveste winoopgro.exe filen. Men den kendte jeg placeringen på og fjernede med det indbyggede program til fjernelse af låste filer.

Unlocker nægtede ganske enkelt at fungere på min computer. der var ingen adgang til det i "højre klik filer" så noget må stadig være aktivt, noget der ikke kan lide indgreb i sin kriminelle løbebane på computeren.
Nu vare det forhåbentligt kun nogle dage før jeg er helt sikker på at jeg har gemt alt der skal gemmes ;-)

med hensyn til min "ikke inficeerede computer" aner jeg stadig ikke om jge er købt eller solgt. Men jeg har fået en Avast evangelist på banen og han har forkyndt ordet: lad os fortolke waring.loggen. så det er vi igang med.

Jeg tvivler på at Unlocker kan køre på en 64 bit PC!

f-arn - UBS! det kan jo forklare at unlocker ikke køre som ventet.

Desverre fantes ikke noget entydigt svar. Derfor valgte jeg at formatere mine computere. mange tak til alle der har villet hjælpe.