CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede OliverA Nybegynder
02. september 2010 - 14:15 Der er 21 kommentarer og
1 løsning

csrss.exe og svhost.exe: inficeret af trojanske heste?

Hej, jeg håber i kan hjælpe mig.

Jeg har søgt lidt her inde, men kunne ikke lige finde et lignende problem (eftersom det er filerne i WINDOWS\system32).

Jeg har haft rimelig mange problemer med trojanske heste på det sidste og troede jeg havde fjernet dem alle. Har kørt alle mulige trojan remover, trojan hunter osv.

Men min avgscan er ret ubehagelig.. Den siger dette (screenshot):
http://peecee.dk/upload/view/264614

Som i kan se er csrss.exe og svhost.exe inficeret (i følge avg).

Her skal det siges at den indtil igår også viste at firefox.exe var inficeret! Og da jeg kiggede i joblisten, kørte firefox.exe hele tiden i baggrunden. Jeg fik lukket processen og slettet filen, hvilket fik winupdate.exe til at gå AMOK! Fandt så ud af at det også var en trojansk hest, og fik slettet filen og ryddet op i regedit, i fejlsikret tilstand, og det har ikke været et problem siden.

Hvad skal jeg gøre? Kan jo ikke slette filerne, da de er vigtige windowsfiler (siger den når jeg prøver at lukke processen).

Har også lige lavet en hijackthis scan (så på forum at den kan afsløre lidt af hvert) og her er loggen:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at NosN - 13:56:27, on 02-09-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programmer\AVG\AVG9\avgchsvx.exe
D:\Programmer\AVG\AVG9\avgrsx.exe
D:\Programmer\AVG\AVG9\avgcsrvx.exe
D:\Programmer\Lavasoft\Ad-Aware\AAWService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe
D:\Programmer\AVG\AVG9\avgwdsvc.exe
D:\Programmer\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
D:\WINDOWS\system32\CTSvcCDA.EXE
D:\Programmer\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
D:\Programmer\M-Audio\Install\EvoInst.exe
D:\Programmer\Java\jre6\bin\jqs.exe
D:\Programmer\TRENDnet\TEW-623PI Wireless Client Utility\NICServ.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\PnkBstrB.exe
D:\Programmer\CyberLink\Shared Files\RichVideo.exe
D:\WINDOWS\System32\svchost.exe
D:\Programmer\TVersity\Media Server\MediaServer.exe
D:\Programmer\TRENDnet\TEW-623PI Wireless Client Utility\UMCCfg.exe
D:\Programmer\AVG\AVG9\avgnsx.exe
D:\WINDOWS\system32\MsPMSPSv.exe
D:\Programmer\AVG\AVG9\avgemc.exe
D:\Programmer\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
D:\Programmer\AVG\AVG9\avgcsrvx.exe
D:\Programmer\AVG\AVG9\avgscanx.exe
D:\Programmer\AVG\AVG9\avgcsrvx.exe
D:\WINDOWS\Explorer.EXE
D:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe
D:\WINDOWS\CTHELPER.EXE
D:\Programmer\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
D:\Programmer\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
D:\PROGRA~1\AVG\AVG9\avgtray.exe
D:\Programmer\TrojanHunter 5.3\THGuard.exe
D:\Programmer\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmer\iPod\bin\iPodService.exe
D:\Programmer\Lavasoft\Ad-Aware\AAWTray.exe
D:\Programmer\Lavasoft\Ad-Aware\Ad-Aware.exe
D:\Programmer\AVG\AVG9\avgui.exe
D:\Programmer\Safari\Safari.exe
D:\Programmer\Windows Defender\MSASCui.exe
D:\Programmer\Windows Defender\MsMpEng.exe
D:\Programmer\Safari\Safari.exe
D:\Documents and Settings\Oliver\Dokumenter\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - D:\Programmer\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programmer\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Hjælp til tilmelding til Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - D:\Programmer\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - D:\Programmer\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "D:\Programmer\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "D:\Programmer\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [Windows Defender] "D:\Programmer\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTDVDDET] D:\Programmer\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTSysVol] D:\Programmer\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [AVG9_TRAY] D:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [nwiz] D:\Programmer\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [THGuard] "D:\Programmer\TrojanHunter 5.3\THGuard.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programmer\Fælles filer\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] D:\DOCUME~1\Oliver\LOKALE~1\Temp\wmranxeosc.tmp
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {4F2A3649-7A9F-4950-9C31-409FAC6FC7C8} (IssueUtilCtrl Class) - https://danid.dk/csp/authenticode/csp.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/da/uno1/GAME_UNO1.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - https://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BD3889-FC1B-437C-A149-30E91DB2B8E4}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7919E5F-575D-414A-A413-078A0D2B61D9}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - D:\Programmer\AVG\AVG9\Toolbar\IEToolbar.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programmer\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVG Security Toolbar Service - Unknown owner - D:\Programmer\AVG\AVG9\Toolbar\ToolbarBroker.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - D:\Programmer\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Programmer\AVG\AVG9\avgwdsvc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - D:\Programmer\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - D:\Programmer\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: CyberLink Media Library Service - Cyberlink - D:\Programmer\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - D:\Programmer\M-Audio\Install\EvoInst.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - D:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Programmer\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NICSer_TEW623PI_WPC370L - Unknown owner - D:\Programmer\TRENDnet\TEW-623PI Wireless Client Utility\NICServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programmer\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programmer\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TVersityMediaServer - Unknown owner - D:\Programmer\TVersity\Media Server\MediaServer.exe

--
End of file - 10638 bytes


Håber en eller flere kloge hoveder kan hjælpe! Kan næsten ikke klare tanken om at formatere.
På forhånd tak,
Oliver A.
Avatar billede f-arn Guru
02. september 2010 - 15:26 #1
Hent "Malwarebytes' Anti-Malware" her

Eller her

Installer og start programmet, klik på fanen opdater, klik Tjek for opdatering, lav "Hurtig skan" under fanebladet "skanner".
Bagefter klik på "vis resultater", tryk på "Fjern det valgte" og send loggen herind.

NB Når du opdaterer Malwarebytes, så klik på "Tjek for opdatering" til den skriver at der ikke er flere opdateringer.
Avatar billede OliverA Nybegynder
02. september 2010 - 22:35 #2
Gjorde det lige..

Den fandt 10 inficerede filer, og da jeg trykkede "Fjern valgte", lavede den en "runtime error 13, type mismatch" og lukkede programmet.. Suk. Prøver igen.
Avatar billede OliverA Nybegynder
02. september 2010 - 22:44 #3
Nu kunne den slet ikke fuldføre scanningen.

Screenshot:
http://peecee.dk/upload/view/264719

Den lukker programmet ned bagefter.
Avatar billede f-arn Guru
03. september 2010 - 19:15 #4
Vil du godt åbne Kontrolpanelet. De skal du kontrollere at instillingerne i "Internationale og sproglige indstilliner" og "Dato og klokke slet" er korrekte.

Afinstaller Malwarebytes via tilføj/fjern programmer i Kontrolpanelet.
Genstart PCen.
Hent og kør denne fil http://www.malwarebytes.org/mbam-clean.exe
Den vil genstarte din PC. Lad den gøre det.

Hent så en ny Malwarebytes.
Installer den og prøv igen.
Avatar billede OliverA Nybegynder
04. september 2010 - 17:07 #5
Jeg har lige gjort som du sagde, og det virkede! Der stod noget forkert i dato og klokkeslet.

Scanningen fandt ingen resultater(log):

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4542

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04-09-2010 17:03:57
mbam-log-2010-09-04 (17-03-57).txt

Skanningstype: Hurtig skanning
Objekter skannet: 144186
Tid gået: 6 minut(ter), 20 sekund(er)

Hukommelses Processorer Inficeret: 0
Hukommelses Moduler Inficeret: 0
Registreringsdatabasenøgler Inficeret: 0
Registreringsdatabaseværdier Inficeret: 0
Registreringsdatabasedata Objekter Inficeret: 0
Inficerede Mapper: 0
Inficerede Filer: 0

Hukommelses Processorer Inficeret:
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabaseværdier Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabasedata Objekter Inficeret:
(Ingen skadelige objekter blev fundet)

Inficerede Mapper:
(Ingen skadelige objekter blev fundet)

Inficerede Filer:
(Ingen skadelige objekter blev fundet)


Så første gang jeg kørte scannen har den åbenbart nået at slette de inficerede filer før den crashede.

Prøver lige at køre avgscan igen og så hvad den siger.
Avatar billede OliverA Nybegynder
06. september 2010 - 19:56 #6
Øv.

Nu er det blevet endnu værre.

Se avgscan her: http://peecee.dk/upload/view/265173

endnu flere filer.

Og det malware, finder ingenting..

Er jeg ude i format C: nu?
Avatar billede f-arn Guru
06. september 2010 - 20:33 #7
Hvis du fortsætter med at uploade billeder, skal det være i en højere opløsning.

Er jeg ude i format C: nu?

La' os nu se.

------

Hent og gem Combofix på dit skrivebord:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Højreklik på skrivebordet og vælg ny->tekstdokument og kopier det fremhævede ind og gem filen som CFScript

Killall::
Snapshot::

Da Combofix kan konflikte med dine sikkerhedsprogrammer er det vigtigt at du deaktiverer dem.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/cfscript.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C:\ Combofix.txt

Indholdet af denne fil må du gerne lægge herind.
Avatar billede OliverA Nybegynder
06. september 2010 - 22:11 #8
Tak for det hurtige svar!
for at se billede i ordentlig opløsning så tryk "Vis det originale billede", eller http://peecee.dk/uploads/092010/nu.JPG

Har kørt den combofix nu, tog lang tid og genstartede ca. 6 gange.

Log'en er således:


ComboFix 10-09-06.02 - Oliver 06-09-2010  21:25:37.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.2047.1517 [GMT 2:00]
Kører fra: d:\documents and settings\Oliver\Skrivebord\ComboFix.exe
Kommandoer benyttet :: d:\documents and settings\Oliver\Skrivebord\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\Oliver\Application Data\inst.exe
d:\windows\system32\dlo6B.dll

Inficeret kopi af d:\windows\system32\drivers\rdpcdd.sys blev fundet og desinficeret
Genskabt kopi fra - Kitty had a snack :p
.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CKQIJPIR
-------\Service_ckqijpir


(((((((((((((((((((((((((((((  Filer skabt fra 2010-08-06 til 2010-09-06  )))))))))))))))))))))))))))))))))))
.

2010-09-06 18:08 . 2010-09-06 18:08    95024    ----a-w-    d:\windows\system32\drivers\SBREDrv.sys
2010-09-06 16:15 . 2010-09-06 16:15    12872    ----a-w-    d:\windows\system32\bootdelete.exe
2010-09-06 15:39 . 2010-09-06 15:39    16968    ----a-w-    d:\windows\system32\drivers\hitmanpro35.sys
2010-09-06 15:38 . 2010-09-06 16:15    --------    d-----w-    d:\documents and settings\All Users\Application Data\Hitman Pro
2010-09-06 15:37 . 2010-09-06 15:37    --------    d-----w-    d:\programmer\Hitman Pro 3.5
2010-09-04 14:56 . 2010-04-29 13:39    38224    ----a-w-    d:\windows\system32\drivers\mbamswissarmy.sys
2010-09-04 14:56 . 2010-04-29 13:39    20952    ----a-w-    d:\windows\system32\drivers\mbam.sys
2010-09-04 14:56 . 2010-09-04 14:56    --------    d-----w-    d:\programmer\Malwarebytes' Anti-Malware
2010-09-03 09:08 . 2010-08-12 12:15    15880    ----a-w-    d:\windows\system32\lsdelete.exe
2010-09-02 20:23 . 2010-09-04 14:56    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Malwarebytes
2010-09-02 20:23 . 2010-09-04 14:56    --------    d-----w-    d:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-01 20:11 . 2010-09-01 20:11    --------    d-----w-    d:\documents and settings\LocalService\Skrivebord
2010-09-01 20:06 . 2010-09-01 20:06    --------    d-----w-    d:\programmer\Enigma Software Group
2010-09-01 20:05 . 2010-09-01 20:43    --------    d-----w-    d:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-09-01 19:51 . 2010-09-01 19:51    --------    d-sh--w-    d:\windows\system32\config\systemprofile\IETldCache
2010-09-01 19:39 . 2010-09-01 19:39    --------    d-----w-    d:\documents and settings\Oliver\Lokale indstillinger\Application Data\Sunbelt Software
2010-09-01 19:38 . 2010-09-01 19:38    --------    dc-h--w-    d:\documents and settings\All Users\Application Data\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-01 19:37 . 2010-09-01 19:47    --------    d-----w-    d:\documents and settings\All Users\Application Data\Lavasoft
2010-09-01 15:18 . 2010-09-01 15:18    125440    ----a-w-    d:\windows\system32\drivers\ethcjypt.sys
2010-08-16 20:41 . 2010-08-16 20:41    --------    d-----w-    d:\documents and settings\Oliver\Lokale indstillinger\Application Data\AVG Security Toolbar
2010-08-13 13:40 . 2010-08-13 13:40    --------    d-----w-    d:\documents and settings\NetworkService\Lokale indstillinger\Application Data\Vuze_Remote
2010-08-12 15:59 . 2010-08-12 15:59    --------    d-----w-    d:\documents and settings\All Users\Application Data\id Software

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-06 17:05 . 2010-09-06 17:05    0    ----a-w-    d:\windows\system32\dlo6B.tmp
2010-09-06 15:26 . 2010-07-29 21:07    --------    d-----w-    d:\programmer\TrojanHunter 5.3
2010-09-01 20:05 . 2007-03-08 21:23    --------    d-----w-    d:\programmer\Fælles filer\Wise Installation Wizard
2010-09-01 20:00 . 2007-06-02 12:50    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Skype
2010-09-01 19:49 . 2010-09-01 19:49    61219    ----a-w-    d:\documents and settings\Oliver\Application Data\Oliver3SQLite3.dll
2010-09-01 19:43 . 2005-07-21 10:00    6314    ---ha-w-    d:\documents and settings\NetworkService\Application Data\SYSTEMlog.dat
2010-09-01 19:37 . 2007-05-15 20:08    --------    d-----w-    d:\programmer\Lavasoft
2010-09-01 19:09 . 2010-09-01 19:09    61037    ----a-w-    d:\documents and settings\NetworkService\Application Data\SYSTEM3SQLite3.dll
2010-08-16 16:33 . 2009-06-26 11:44    --------    d-----w-    d:\documents and settings\All Users\Application Data\AVG Security Toolbar
2010-08-12 16:50 . 2007-11-23 15:16    139336    ----a-w-    d:\windows\system32\drivers\PnkBstrK.sys
2010-08-12 16:49 . 2007-11-23 15:15    214720    ----a-w-    d:\windows\system32\PnkBstrB.exe
2010-08-12 16:00 . 2007-11-28 15:41    2373712    ----a-w-    d:\windows\system32\pbsvc.exe
2010-08-12 16:00 . 2007-11-23 15:15    75064    ----a-w-    d:\windows\system32\PnkBstrA.exe
2010-08-08 16:00 . 2010-08-03 14:56    --------    d-----w-    d:\programmer\Fælles filer\Blizzard Entertainment
2010-08-05 20:00 . 2007-05-19 10:35    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Azureus
2010-08-05 19:16 . 2008-02-25 18:17    --------    d-----w-    d:\programmer\iTunes
2010-08-05 13:30 . 2010-08-05 13:30    --------    d-----w-    d:\programmer\iPod
2010-08-05 13:30 . 2008-02-04 12:38    --------    d-----w-    d:\programmer\Fælles filer\Apple
2010-08-05 13:26 . 2010-06-19 12:38    --------    d-----w-    d:\programmer\Safari
2010-08-03 17:30 . 2010-08-03 15:57    --------    d-----w-    d:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-08-03 14:55 . 2010-03-07 15:19    --------    d---a-w-    d:\documents and settings\All Users\Application Data\TEMP
2010-07-29 21:38 . 2010-07-29 21:38    --------    d-----w-    d:\documents and settings\Oliver\Application Data\TrojanHunter
2010-07-28 18:47 . 2007-05-15 19:59    --------    d-----w-    d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-07-28 18:47 . 2007-05-15 19:59    --------    d-----w-    d:\programmer\Spybot - Search & Destroy
2010-07-28 17:25 . 2010-07-28 17:25    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Simply Super Software
2010-07-28 17:06 . 2009-11-15 11:10    --------    d-----w-    d:\documents and settings\All Users\Application Data\avg9
2010-07-26 17:09 . 2010-07-26 17:09    --------    d-----w-    d:\documents and settings\Oliver\Application Data\4CBB6C506EDC2CC4FB1939792378B044
2010-07-25 08:49 . 2010-07-25 08:49    --------    d-----w-    d:\documents and settings\All Users\Application Data\e-Safekey
2010-07-24 11:08 . 2007-04-13 11:52    --------    d-----w-    d:\programmer\eMule
2010-07-17 08:00 . 2009-05-04 11:11    243024    ----a-w-    d:\windows\system32\drivers\avgtdix.sys
2010-07-17 08:00 . 2010-07-17 08:00    12536    ----a-w-    d:\windows\system32\avgrsstx.dll
2010-07-17 07:59 . 2009-05-04 11:11    216400    ----a-w-    d:\windows\system32\drivers\avgldx86.sys
2010-07-16 09:10 . 2007-05-18 15:53    --------    d-----w-    d:\documents and settings\Oliver\Application Data\dvdcss
2010-06-29 21:05 . 2003-04-25 12:00    82286    ----a-w-    d:\windows\system32\perfc006.dat
2010-06-29 21:05 . 2003-04-25 12:00    455992    ----a-w-    d:\windows\system32\perfh006.dat
2010-06-20 11:01 . 2010-06-20 11:01    18972    ---ha-w-    d:\windows\system32\mlfcache.dat
2010-06-11 15:45 . 2010-06-11 15:45    223440    ----a-w-    d:\windows\system32\drivers\truecrypt.sys
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 08:25    2117704    ----a-w-    d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="d:\programmer\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"Windows Defender"="d:\programmer\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
"CTDVDDET"="d:\programmer\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE" [2003-06-17 45056]
"CTSysVol"="d:\programmer\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"AVG9_TRAY"="d:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-17 2065760]
"AppleSyncNotifier"="d:\programmer\Fælles filer\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-07-13 47904]
"iTunesHelper"="d:\programmer\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"HitmanPro35"="d:\programmer\Hitman Pro 3.5\HitmanPro35.exe" [2010-09-06 6300480]
"UpdReg"="d:\windows\UpdReg.EXE" [2000-05-10 90112]
"SunJavaUpdateSched"="d:\programmer\Java\jre6\bin\jusched.exe" [2009-12-10 149280]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"Adobe Reader Speed Launcher"="d:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.EXE" [2005-06-18 25600]

d:\documents and settings\All Users\Menuen Start\Programmer\Start\
Adobe Gamma Loader.lnk - d:\programmer\F‘lles filer\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-9 113664]
Adobe Reader Hurtigstart.lnk - d:\programmer\Adobe\Reader 8.0\Reader\reader_sl.exe [2007-11-5 39792]
Adobe Reader Synchronizer.lnk - d:\programmer\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2007-5-11 738968]
Microsoft Office.lnk - d:\programmer\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
NkbMonitor.exe.lnk - d:\programmer\Nikon\PictureProject\NkbMonitor.exe [2007-4-15 118784]
TEW-623PI Wireless Client Utility.lnk - d:\programmer\TRENDnet\TEW-623PI Wireless Client Utility\UMCCfg.exe [2009-5-5 2819072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-17 08:00    12536    ----a-w-    d:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2007-03-05 14:36    140976    ----a-w-    d:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=d:\windows\system32\wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=evolusbn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-05-25 15:57    147456    ------w-    d:\programmer\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53    421888    ----a-w-    d:\programmer\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
2005-11-23 02:12    1060864    ----a-r-    d:\programmer\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RCSystem]
2005-06-16 16:25    49152    ------w-    d:\programmer\Creative\Shared Files\Module Loader\DLLML.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmer\\Azureus\\Azureus.exe"=
"f:\\Steam\\Steam.exe"=
"d:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"e:\\GTA2\\GTA2\\gta2.exe"=
"d:\\WINDOWS\\system32\\dplaysvr.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\counter-strike source\\hl2.exe"=
"d:\\Programmer\\Croteam\\Serious Sam\\Bin\\SeriousSam.exe"=
"d:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgemc.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgupd.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgnsx.exe"=
"d:\\Programmer\\Ventrilo\\Ventrilo.exe"=
"d:\\Programmer\\TVersity\\Media Server\\MediaServer.exe"=
"d:\\Programmer\\Java\\jre6\\bin\\java.exe"=
"d:\\WINDOWS\\system32\\PnkBstrA.exe"=
"d:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Movies og spil\\Flat Out 2\\FlatOut2.exe"=
"f:\\Call of Duty 2\\CoD2MP_s.exe"=
"f:\\Programmer\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Movies og spil\\Age of Mythology\\Microsoft Games\\Age of Mythology\\aom.exe"=
"d:\\Programmer\\Croteam\\Serious Sam - The Second Encounter\\Bin\\SeriousSam.exe"=
"d:\\Programmer\\Winamp\\winamp.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\dedicated server\\hlds.exe"=
"d:\\Programmer\\eMule\\emule.exe"=
"f:\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"f:\\StarCraft II\\StarCraft II.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\counter-strike\\hl.exe"=
"d:\\Programmer\\Skype\\Phone\\Skype.exe"=
"d:\\Programmer\\iTunes\\iTunes.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;d:\windows\system32\drivers\avgldx86.sys [04-05-2009 13:11 216400]
R1 AvgTdiX;AVG Free8 Network Redirector;d:\windows\system32\drivers\avgtdix.sys [04-05-2009 13:11 243024]
R2 avg9emc;AVG Free E-mail Scanner;d:\programmer\AVG\AVG9\avgemc.exe [22-07-2010 17:12 921952]
R2 avg9wd;AVG Free WatchDog;d:\programmer\AVG\AVG9\avgwdsvc.exe [17-07-2010 10:00 308136]
R2 EvoInstallerService;M-Audio Installer;d:\programmer\M-Audio\Install\EvoInst.exe [16-11-2009 22:32 90112]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programmer\Lavasoft\Ad-Aware\AAWService.exe [12-08-2010 14:15 1355928]
R2 NICSer_TEW623PI_WPC370L;NICSer_TEW623PI_WPC370L;d:\programmer\TRENDnet\TEW-623PI Wireless Client Utility\NICServ.exe [05-05-2009 17:55 530432]
R3 hitmanpro35;Hitman Pro 3.5 Support Driver;d:\windows\system32\drivers\hitmanpro35.sys [06-09-2010 17:39 16968]
S1 ethcjypt;ethcjypt;d:\windows\system32\drivers\ethcjypt.sys [01-09-2010 17:18 125440]
S2 EAPPkt;Realtek EAPPkt Protocol;d:\windows\system32\DRIVERS\EAPPkt.sys --> d:\windows\system32\DRIVERS\EAPPkt.sys [?]
S2 WinDefend;Windows Defender;d:\programmer\Windows Defender\MsMpEng.exe [03-11-2006 19:19 13592]
S3 3xHybrid;3xHybrid service;d:\windows\system32\drivers\3xHybrid.sys [01-05-2007 21:47 2825088]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;d:\programmer\AVG\AVG9\Toolbar\ToolbarBroker.exe [16-08-2010 18:32 430152]
S3 BELKIN;Belkin Wireless G USB Network Adapter;d:\windows\system32\DRIVERS\BLKWGU.sys --> d:\windows\system32\DRIVERS\BLKWGU.sys [?]
S3 EVOLUSB;%EVOL_USB.SvcDesc%;d:\windows\system32\drivers\evolusb.sys [16-11-2009 22:32 21984]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;d:\programmer\Lavasoft\Ad-Aware\kernexplorer.sys [12-08-2010 14:15 15008]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;d:\windows\system32\drivers\libusb0.sys [19-05-2010 18:24 28160]
S3 PciCon;PciCon;\??\g:\pcicon.sys --> g:\PciCon.sys [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);d:\windows\system32\DRIVERS\LV532AV.SYS --> d:\windows\system32\DRIVERS\LV532AV.SYS [?]
S3 RT80x86;TRENDnet Wireless N Network Adapter Service;d:\windows\system32\drivers\rt2860.sys [05-05-2009 17:55 579456]
S3 USBAAPL;Apple Mobile USB Driver;d:\windows\system32\drivers\usbaapl.sys [04-02-2008 14:39 41984]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [01-06-2007 21:33 682232]

--- Andre Services/Drivers i Hukommelsen ---

*NewlyCreated* - HITMANPRO35
*NewlyCreated* - WMIAPSRV
.
Indhold af mappen 'Planlagte Opgaver'

2010-09-04 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programmer\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:08]

2010-09-03 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programmer\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Yderligere scanning -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = <local>
Trusted Zone: danid.dk
Trusted Zone: danid.dk
TCP: {58BD3889-FC1B-437C-A149-30E91DB2B8E4} = 208.67.222.222,208.67.220.220
TCP: {C7919E5F-575D-414A-A413-078A0D2B61D9} = 208.67.222.222,208.67.220.220
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
.
- - - - TOMME GENVEJE FJERNET - - - -

BHO-{D2E5F8AA-C8FD-401B-8A93-15A2C23EA252} - d:\windows\system32\dlo6b.dll
HKLM-Run-nwiz - d:\programmer\NVIDIA Corporation\nView\nwiz.exe
MSConfigStartUp-EzPrint - d:\programmer\Lexmark 2300 Series\ezprint.exe
MSConfigStartUp-FaxCenterServer - d:\programmer\Lexmark Fax Solutions\fm3032.exe
MSConfigStartUp-LogitechSoftwareUpdate - d:\programmer\Logitech\Video\ManifestEngine.exe
MSConfigStartUp-LogitechVideoRepair - d:\programmer\Logitech\Video\ISStart.exe
MSConfigStartUp-LogitechVideoTray - d:\programmer\Logitech\Video\LogiTray.exe
MSConfigStartUp-lxcgmon - d:\programmer\Lexmark 2300 Series\lxcgmon.exe
MSConfigStartUp-mustnjwn - d:\documents and settings\Oliver\Lokale indstillinger\Application Data\uowhplpjy\bkersxdtssd.exe
MSConfigStartUp-sta - tpbup.dll
AddRemove-Mozilla Firefox (3.5.11) - d:\programmer\Mozilla Firefox\uninstall\helper.exe
AddRemove-NVIDIA nView Desktop Manager - d:\programmer\NVIDIA Corporation\nView\nViewSetup.exe
AddRemove-WindowBlinds - d:\progra~1\Stardock\OBJECT~1\WINDOW~1\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-06 21:49
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(1092)
d:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

- - - - - - - > 'explorer.exe'(2084)
d:\windows\system32\ctagent.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\programmer\WinSCP3\DragExt.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
d:\windows\system32\nvsvc32.exe
d:\programmer\AVG\AVG9\avgchsvx.exe
d:\programmer\AVG\AVG9\avgrsx.exe
d:\programmer\AVG\AVG9\avgcsrvx.exe
d:\programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programmer\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
d:\windows\system32\CTSvcCDA.EXE
d:\programmer\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
d:\programmer\Java\jre6\bin\jqs.exe
d:\windows\system32\PnkBstrA.exe
d:\windows\system32\PnkBstrB.exe
d:\programmer\CyberLink\Shared Files\RichVideo.exe
d:\programmer\TVersity\Media Server\MediaServer.exe
d:\windows\system32\MsPMSPSv.exe
d:\programmer\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
d:\programmer\AVG\AVG9\avgnsx.exe
d:\programmer\AVG\AVG9\avgcsrvx.exe
d:\windows\System32\wbem\unsecapp.exe
d:\programmer\Lavasoft\Ad-Aware\AAWTray.exe
d:\windows\CTHELPER.EXE
d:\windows\system32\RUNDLL32.EXE
d:\programmer\iPod\bin\iPodService.exe
d:\programmer\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Gennemført tid: 2010-09-06  22:08:09 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2010-09-06 20:07

Pre-Kørsel: 7.969.648.640 byte ledig
Post-Kørsel: 7.949.729.792 byte ledig

WindowsXP-KB310994-SP2-Home-BootDisk-DAN.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /usepmtimer

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - 2358E73DF5B81128BEDEC05AC83FE670
Avatar billede f-arn Guru
07. september 2010 - 02:56 #9
Combofix fjernede et meget grimt Rootkit. Når vi er færdige, vil jeg foreslå du lægger noget ordentlig sikkerhed på den PC.
AVG FREE er, stort set, det dårligste valg du kan gøre, da det nærmest overhovedet ikke beskytter mod Rootkits.


Højreklik på skrivebordet og vælg ny->tekstdokument og kopier det fremhævede ind og gem filen som CFScript

Killall::
Snapshot::
File::
d:\windows\system32\drivers\ethcjypt.sys
Driver::
ethcjypt
PciCon

Da Combofix kan konflikte med dine sikkerhedsprogrammer er det vigtigt at du deaktiverer dem.

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
http://www.fromsej.saknet.dk/billeder/swfcombo.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil combofix.txt som ligger her C:\Combofix.txt

Indholdet af denne fil må du gerne lægge herind.
Avatar billede OliverA Nybegynder
07. september 2010 - 22:52 #10
Har læst hvad rootkits er, og det lyder ganske ubehageligt.
Er meget interesseret i bedre beskyttelse, men der er simpelthen så mange programmer at det er uoverskueligt.

Kan du anbefale et program der er så sikkert som muligt?


Og har kørt combofix som du har sagt, med det teksdokument. Resultatet er:


ComboFix 10-09-07.01 - Oliver 07-09-2010  22:06:19.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.2047.1332 [GMT 2:00]
Kører fra: d:\documents and settings\Oliver\Skrivebord\ComboFix.exe
Kommandoer benyttet :: d:\documents and settings\Oliver\Skrivebord\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"d:\windows\system32\drivers\ethcjypt.sys"
.

(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet  )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windows\system32\drivers\ethcjypt.sys

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Tjenester  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PCICON
-------\Service_ethcjypt
-------\Service_PciCon


(((((((((((((((((((((((((((((  Filer skabt fra 2010-08-07 til 2010-09-07  )))))))))))))))))))))))))))))))))))
.

2010-09-06 18:08 . 2010-09-06 18:08    95024    ----a-w-    d:\windows\system32\drivers\SBREDrv.sys
2010-09-06 16:15 . 2010-09-06 16:15    12872    ----a-w-    d:\windows\system32\bootdelete.exe
2010-09-06 15:39 . 2010-09-06 19:53    16968    ----a-w-    d:\windows\system32\drivers\hitmanpro35.sys
2010-09-06 15:38 . 2010-09-06 16:15    --------    d-----w-    d:\documents and settings\All Users\Application Data\Hitman Pro
2010-09-06 15:37 . 2010-09-06 15:37    --------    d-----w-    d:\programmer\Hitman Pro 3.5
2010-09-04 14:56 . 2010-04-29 13:39    38224    ----a-w-    d:\windows\system32\drivers\mbamswissarmy.sys
2010-09-04 14:56 . 2010-04-29 13:39    20952    ----a-w-    d:\windows\system32\drivers\mbam.sys
2010-09-04 14:56 . 2010-09-04 14:56    --------    d-----w-    d:\programmer\Malwarebytes' Anti-Malware
2010-09-03 09:08 . 2010-08-12 12:15    15880    ----a-w-    d:\windows\system32\lsdelete.exe
2010-09-02 20:23 . 2010-09-04 14:56    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Malwarebytes
2010-09-02 20:23 . 2010-09-04 14:56    --------    d-----w-    d:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-01 20:11 . 2010-09-01 20:11    --------    d-----w-    d:\documents and settings\LocalService\Skrivebord
2010-09-01 20:06 . 2010-09-01 20:06    --------    d-----w-    d:\programmer\Enigma Software Group
2010-09-01 20:05 . 2010-09-01 20:43    --------    d-----w-    d:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-09-01 19:51 . 2010-09-01 19:51    --------    d-sh--w-    d:\windows\system32\config\systemprofile\IETldCache
2010-09-01 19:39 . 2010-09-01 19:39    --------    d-----w-    d:\documents and settings\Oliver\Lokale indstillinger\Application Data\Sunbelt Software
2010-09-01 19:38 . 2010-09-01 19:38    --------    dc-h--w-    d:\documents and settings\All Users\Application Data\{ECC164E0-3133-4C70-A831-F08DB2940F70}
2010-09-01 19:37 . 2010-09-01 19:47    --------    d-----w-    d:\documents and settings\All Users\Application Data\Lavasoft
2010-08-16 20:41 . 2010-08-16 20:41    --------    d-----w-    d:\documents and settings\Oliver\Lokale indstillinger\Application Data\AVG Security Toolbar
2010-08-13 13:40 . 2010-08-13 13:40    --------    d-----w-    d:\documents and settings\NetworkService\Lokale indstillinger\Application Data\Vuze_Remote
2010-08-12 15:59 . 2010-08-12 15:59    --------    d-----w-    d:\documents and settings\All Users\Application Data\id Software

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-07 19:59 . 2009-11-15 11:10    --------    d-----w-    d:\documents and settings\All Users\Application Data\avg9
2010-09-06 17:05 . 2010-09-06 17:05    0    ----a-w-    d:\windows\system32\dlo6B.tmp
2010-09-06 15:26 . 2010-07-29 21:07    --------    d-----w-    d:\programmer\TrojanHunter 5.3
2010-09-01 20:05 . 2007-03-08 21:23    --------    d-----w-    d:\programmer\Fælles filer\Wise Installation Wizard
2010-09-01 20:00 . 2007-06-02 12:50    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Skype
2010-09-01 19:49 . 2010-09-01 19:49    61219    ----a-w-    d:\documents and settings\Oliver\Application Data\Oliver3SQLite3.dll
2010-09-01 19:43 . 2005-07-21 10:00    6314    ---ha-w-    d:\documents and settings\NetworkService\Application Data\SYSTEMlog.dat
2010-09-01 19:37 . 2007-05-15 20:08    --------    d-----w-    d:\programmer\Lavasoft
2010-09-01 19:09 . 2010-09-01 19:09    61037    ----a-w-    d:\documents and settings\NetworkService\Application Data\SYSTEM3SQLite3.dll
2010-08-16 16:33 . 2009-06-26 11:44    --------    d-----w-    d:\documents and settings\All Users\Application Data\AVG Security Toolbar
2010-08-12 16:50 . 2007-11-23 15:16    139336    ----a-w-    d:\windows\system32\drivers\PnkBstrK.sys
2010-08-12 16:49 . 2007-11-23 15:15    214720    ----a-w-    d:\windows\system32\PnkBstrB.exe
2010-08-12 16:00 . 2007-11-28 15:41    2373712    ----a-w-    d:\windows\system32\pbsvc.exe
2010-08-12 16:00 . 2007-11-23 15:15    75064    ----a-w-    d:\windows\system32\PnkBstrA.exe
2010-08-08 16:00 . 2010-08-03 14:56    --------    d-----w-    d:\programmer\Fælles filer\Blizzard Entertainment
2010-08-05 20:00 . 2007-05-19 10:35    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Azureus
2010-08-05 19:16 . 2008-02-25 18:17    --------    d-----w-    d:\programmer\iTunes
2010-08-05 13:30 . 2010-08-05 13:30    --------    d-----w-    d:\programmer\iPod
2010-08-05 13:30 . 2008-02-04 12:38    --------    d-----w-    d:\programmer\Fælles filer\Apple
2010-08-05 13:26 . 2010-06-19 12:38    --------    d-----w-    d:\programmer\Safari
2010-08-03 17:30 . 2010-08-03 15:57    --------    d-----w-    d:\documents and settings\All Users\Application Data\Blizzard Entertainment
2010-08-03 14:55 . 2010-03-07 15:19    --------    d---a-w-    d:\documents and settings\All Users\Application Data\TEMP
2010-07-29 21:38 . 2010-07-29 21:38    --------    d-----w-    d:\documents and settings\Oliver\Application Data\TrojanHunter
2010-07-28 18:47 . 2007-05-15 19:59    --------    d-----w-    d:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-07-28 18:47 . 2007-05-15 19:59    --------    d-----w-    d:\programmer\Spybot - Search & Destroy
2010-07-28 17:25 . 2010-07-28 17:25    --------    d-----w-    d:\documents and settings\Oliver\Application Data\Simply Super Software
2010-07-26 17:09 . 2010-07-26 17:09    --------    d-----w-    d:\documents and settings\Oliver\Application Data\4CBB6C506EDC2CC4FB1939792378B044
2010-07-25 08:49 . 2010-07-25 08:49    --------    d-----w-    d:\documents and settings\All Users\Application Data\e-Safekey
2010-07-24 11:08 . 2007-04-13 11:52    --------    d-----w-    d:\programmer\eMule
2010-07-17 08:00 . 2009-05-04 11:11    243024    ----a-w-    d:\windows\system32\drivers\avgtdix.sys
2010-07-17 08:00 . 2010-07-17 08:00    12536    ----a-w-    d:\windows\system32\avgrsstx.dll
2010-07-17 07:59 . 2009-05-04 11:11    216400    ----a-w-    d:\windows\system32\drivers\avgldx86.sys
2010-07-16 09:10 . 2007-05-18 15:53    --------    d-----w-    d:\documents and settings\Oliver\Application Data\dvdcss
2010-06-29 21:05 . 2003-04-25 12:00    82286    ----a-w-    d:\windows\system32\perfc006.dat
2010-06-29 21:05 . 2003-04-25 12:00    455992    ----a-w-    d:\windows\system32\perfh006.dat
2010-06-20 11:01 . 2010-06-20 11:01    18972    ---ha-w-    d:\windows\system32\mlfcache.dat
2010-06-11 15:45 . 2010-06-11 15:45    223440    ----a-w-    d:\windows\system32\drivers\truecrypt.sys
.

(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2010-04-19 08:25    2117704    ----a-w-    d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AudioDrvEmulator"="d:\programmer\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"Windows Defender"="d:\programmer\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"CTHelper"="CTHELPER.EXE" [2005-06-18 16384]
"CTDVDDET"="d:\programmer\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE" [2003-06-17 45056]
"CTSysVol"="d:\programmer\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"AVG9_TRAY"="d:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-17 2065760]
"AppleSyncNotifier"="d:\programmer\Fælles filer\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-07-13 47904]
"iTunesHelper"="d:\programmer\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"HitmanPro35"="d:\programmer\Hitman Pro 3.5\HitmanPro35.exe" [2010-09-06 6300480]
"UpdReg"="d:\windows\UpdReg.EXE" [2000-05-10 90112]
"SunJavaUpdateSched"="d:\programmer\Java\jre6\bin\jusched.exe" [2009-12-10 149280]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"Adobe Reader Speed Launcher"="d:\programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.EXE" [2005-06-18 25600]

d:\documents and settings\All Users\Menuen Start\Programmer\Start\
Adobe Gamma Loader.lnk - d:\programmer\F‘lles filer\Adobe\Calibration\Adobe Gamma Loader.exe [2007-3-9 113664]
Adobe Reader Hurtigstart.lnk - d:\programmer\Adobe\Reader 8.0\Reader\reader_sl.exe [2007-11-5 39792]
Adobe Reader Synchronizer.lnk - d:\programmer\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2007-5-11 738968]
Microsoft Office.lnk - d:\programmer\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
NkbMonitor.exe.lnk - d:\programmer\Nikon\PictureProject\NkbMonitor.exe [2007-4-15 118784]
TEW-623PI Wireless Client Utility.lnk - d:\programmer\TRENDnet\TEW-623PI Wireless Client Utility\UMCCfg.exe [2009-5-5 2819072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-07-17 08:00    12536    ----a-w-    d:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2007-03-05 14:36    140976    ----a-w-    d:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=d:\windows\system32\wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=evolusbn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2006-05-25 15:57    147456    ------w-    d:\programmer\CyberLink\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53    421888    ----a-w-    d:\programmer\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
2005-11-23 02:12    1060864    ----a-r-    d:\programmer\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RCSystem]
2005-06-16 16:25    49152    ------w-    d:\programmer\Creative\Shared Files\Module Loader\DLLML.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programmer\\Azureus\\Azureus.exe"=
"f:\\Steam\\Steam.exe"=
"d:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"e:\\GTA2\\GTA2\\gta2.exe"=
"d:\\WINDOWS\\system32\\dplaysvr.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\counter-strike source\\hl2.exe"=
"d:\\Programmer\\Croteam\\Serious Sam\\Bin\\SeriousSam.exe"=
"d:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgemc.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgupd.exe"=
"d:\\Programmer\\AVG\\AVG9\\avgnsx.exe"=
"d:\\Programmer\\Ventrilo\\Ventrilo.exe"=
"d:\\Programmer\\TVersity\\Media Server\\MediaServer.exe"=
"d:\\Programmer\\Java\\jre6\\bin\\java.exe"=
"d:\\WINDOWS\\system32\\PnkBstrA.exe"=
"d:\\WINDOWS\\system32\\PnkBstrB.exe"=
"f:\\Movies og spil\\Flat Out 2\\FlatOut2.exe"=
"f:\\Call of Duty 2\\CoD2MP_s.exe"=
"f:\\Programmer\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Movies og spil\\Age of Mythology\\Microsoft Games\\Age of Mythology\\aom.exe"=
"d:\\Programmer\\Croteam\\Serious Sam - The Second Encounter\\Bin\\SeriousSam.exe"=
"d:\\Programmer\\Winamp\\winamp.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\dedicated server\\hlds.exe"=
"d:\\Programmer\\eMule\\emule.exe"=
"f:\\StarCraft II\\Versions\\Base15405\\SC2.exe"=
"f:\\StarCraft II\\StarCraft II.exe"=
"f:\\Steam\\SteamApps\\deathsyndrom\\counter-strike\\hl.exe"=
"d:\\Programmer\\Skype\\Phone\\Skype.exe"=
"d:\\Programmer\\iTunes\\iTunes.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;d:\windows\system32\drivers\avgldx86.sys [04-05-2009 13:11 216400]
R1 AvgTdiX;AVG Free8 Network Redirector;d:\windows\system32\drivers\avgtdix.sys [04-05-2009 13:11 243024]
R2 avg9emc;AVG Free E-mail Scanner;d:\programmer\AVG\AVG9\avgemc.exe [22-07-2010 17:12 921952]
R2 avg9wd;AVG Free WatchDog;d:\programmer\AVG\AVG9\avgwdsvc.exe [17-07-2010 10:00 308136]
R2 EvoInstallerService;M-Audio Installer;d:\programmer\M-Audio\Install\EvoInst.exe [16-11-2009 22:32 90112]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programmer\Lavasoft\Ad-Aware\AAWService.exe [12-08-2010 14:15 1355928]
R2 NICSer_TEW623PI_WPC370L;NICSer_TEW623PI_WPC370L;d:\programmer\TRENDnet\TEW-623PI Wireless Client Utility\NICServ.exe [05-05-2009 17:55 530432]
R3 hitmanpro35;Hitman Pro 3.5 Support Driver;d:\windows\system32\drivers\hitmanpro35.sys [06-09-2010 17:39 16968]
S2 EAPPkt;Realtek EAPPkt Protocol;d:\windows\system32\DRIVERS\EAPPkt.sys --> d:\windows\system32\DRIVERS\EAPPkt.sys [?]
S2 WinDefend;Windows Defender;d:\programmer\Windows Defender\MsMpEng.exe [03-11-2006 19:19 13592]
S3 3xHybrid;3xHybrid service;d:\windows\system32\drivers\3xHybrid.sys [01-05-2007 21:47 2825088]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;d:\programmer\AVG\AVG9\Toolbar\ToolbarBroker.exe [16-08-2010 18:32 430152]
S3 BELKIN;Belkin Wireless G USB Network Adapter;d:\windows\system32\DRIVERS\BLKWGU.sys --> d:\windows\system32\DRIVERS\BLKWGU.sys [?]
S3 EVOLUSB;%EVOL_USB.SvcDesc%;d:\windows\system32\drivers\evolusb.sys [16-11-2009 22:32 21984]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;d:\programmer\Lavasoft\Ad-Aware\kernexplorer.sys [12-08-2010 14:15 15008]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;d:\windows\system32\drivers\libusb0.sys [19-05-2010 18:24 28160]
S3 PID_0920;Logitech QuickCam Express(PID_0920);d:\windows\system32\DRIVERS\LV532AV.SYS --> d:\windows\system32\DRIVERS\LV532AV.SYS [?]
S3 RT80x86;TRENDnet Wireless N Network Adapter Service;d:\windows\system32\drivers\rt2860.sys [05-05-2009 17:55 579456]
S3 USBAAPL;Apple Mobile USB Driver;d:\windows\system32\drivers\usbaapl.sys [04-02-2008 14:39 41984]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [01-06-2007 21:33 682232]

--- Andre Services/Drivers i Hukommelsen ---

*NewlyCreated* - HITMANPRO35
.
Indhold af mappen 'Planlagte Opgaver'

2010-09-04 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programmer\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 18:08]

2010-09-03 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programmer\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Yderligere scanning -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = <local>
Trusted Zone: danid.dk
Trusted Zone: danid.dk
TCP: {58BD3889-FC1B-437C-A149-30E91DB2B8E4} = 208.67.222.222,208.67.220.220
TCP: {C7919E5F-575D-414A-A413-078A0D2B61D9} = 208.67.222.222,208.67.220.220
Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - d:\programmer\AVG\AVG9\Toolbar\IEToolbar.dll
DPF: {D216644A-C6DB-49D9-BBCF-D38FE7991BF2} - hxxps://udstedelse.certifikat.tdc.dk/csp/authenticode/tdccsp-0506.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-07 22:24
Windows 5.1.2600 Service Pack 3 NTFS

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(1080)
d:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

- - - - - - - > 'explorer.exe'(2492)
d:\windows\system32\ctagent.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\programmer\WinSCP3\DragExt.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Andre kørende processer ------------------------
.
d:\windows\system32\nvsvc32.exe
d:\programmer\AVG\AVG9\avgchsvx.exe
d:\programmer\AVG\AVG9\avgrsx.exe
d:\programmer\AVG\AVG9\avgcsrvx.exe
d:\programmer\Fælles filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programmer\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
d:\windows\system32\CTSvcCDA.EXE
d:\programmer\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
d:\programmer\Java\jre6\bin\jqs.exe
d:\windows\system32\PnkBstrA.exe
d:\programmer\AVG\AVG9\avgnsx.exe
d:\windows\system32\PnkBstrB.exe
d:\programmer\CyberLink\Shared Files\RichVideo.exe
d:\windows\system32\MsPMSPSv.exe
d:\programmer\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
d:\programmer\AVG\AVG9\avgcsrvx.exe
d:\windows\System32\wbem\unsecapp.exe
d:\windows\CTHELPER.EXE
d:\windows\system32\RUNDLL32.EXE
d:\programmer\iPod\bin\iPodService.exe
d:\programmer\Java\jre6\bin\jucheck.exe
d:\programmer\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Gennemført tid: 2010-09-07  22:46:23 - maskinen blev genstartet
ComboFix-quarantined-files.txt  2010-09-07 20:46
ComboFix2.txt  2010-09-06 20:08

Pre-Kørsel: 7.956.602.880 byte ledig
Post-Kørsel: 7.939.878.912 byte ledig

Current=5 Default=5 Failed=4 LastKnownGood=6 Sets=1,2,3,4,5,6
- - End Of File - - 71D19854AEB021F6B6D4B2771BAA4CEB
Avatar billede Computer Hjælp (Gratis) Mester
08. september 2010 - 06:50 #11
Hjælp til selvhjælp ->

Grrrrr... Det er jo lige meget hvor meget folk har på af sikkerhed/opdateringer. Hvis de først begynder at 'lege' med P2P programmer - eller retterer relutater derfra - så er det lige vidt !!!
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=40284
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=47308

http://www.spywarefri.dk/artikel/farerne-ved-fildeling/

d:\Programmer\eMule\emule.exe
Avatar billede OliverA Nybegynder
08. september 2010 - 09:32 #12
Det er helt rigtigt. Men bruger slet ikke det program, og det har ligget der i jeg ved ikke hvor lang tid. Men det er selvfølgelig en fejl det ikke er slettet. For det er en dødsfælde. Hehe.
Bruger kun torrents hvis det er.. Men det var nok der det kom af, så er helt holdt op med at downloade, som sådan.
Avatar billede f-arn Guru
08. september 2010 - 11:58 #13
Jeg kan nu se andre eksempler på fildeling end det - men lad det nu ligge.

Det ser helt pænt ud, men lad os se om der ligger noget og gemmer sig.

Deaktiver dit antivirus-program, kør en online scanning med ESET Online Scanner:
http://www.eset.com/onlinescan/

Du skal acceptere betingelserne for brug, og klik på Start.
Efter ActiveX Control er indlæst, vil det tage et par minutter for scanneren at blive klar.
Dernæst skal du sætte flueben i følgende felter:
Remove found threats
Scan archives

under advanced settings
Scan for potentialy unwanted applications
Scan for potentially unsafe applications
Enable anti-stealth technology

Klik på Start. Denne scanning kan tage et stykke tid, så vær tålmodig.
En log vil åbne, når scanningen er færdig.

(hvis ikke, skal du gå til C:\Programmer\EsetOnlineScanner\ og åbne filen Log.txt).

Kopier den herind i næste indlæg.
Avatar billede OliverA Nybegynder
09. september 2010 - 06:25 #14
Så er det klaret.

Log'en:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=b4ac0e2eea81cb41afc1f60727a28943
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-09-09 03:34:11
# local_time=2010-09-09 05:34:11 (+0100, Rom, sommertid)
# country="Denmark"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1024 16777175 100 0 25698515 25698515 0 0
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 249 249 0 0
# scanned=164501
# found=2
# cleaned=2
# scan_time=24934
C:\Musik\Gabriella Cilmi - Lessons to be Learned (2008)\07 - Messy - Gabriella Cilmi.mp3    a variant of WMA/TrojanDownloader.GetCodec.gen trojan (cleaned - quarantined)    00000000000000000000000000000000    C
D:\Qoobox\Quarantine\D\WINDOWS\system32\Drivers\rdpcdd.sys.vir    Win32/Olmarik.ZC trojan (cleaned - quarantined)    00000000000000000000000000000000    C
Avatar billede f-arn Guru
09. september 2010 - 19:27 #15
Find og slet C:\Musik
Ellers ser det pænt ud.

------

Klik start, kør og kopier dettte: combofix /uninstall
Tryk enter
Det vil fjerne Combofix og nulstille urets indstillinger.
Nulstille systemgendannelsen.
Skjule filtypenavne hvis det kræves.
Skjule System/skjulte filer hvis det kræves

------

Kan du anbefale et program der er så sikkert som muligt

Jeg bruger selv Norton Internet Security, men Kaspersky Internet Security og ESET Smart Security er bestemt også gode.

Da du kører XP kan jeg ikke anbefale den nuværende Bullguard. Det har givet en sløv Pc hos mange XP brugere.
Avatar billede OliverA Nybegynder
09. september 2010 - 22:15 #16
Mener du helt seriøst at jeg skal slette min elskede musiksamling, som har taget mange år at skaffe? :(

Og gør lige det andet. Og tjekker de programmer ud!

Håber den er clean nu, og jeg kan ikke takke dig nok for hjælpen!
Avatar billede f-arn Guru
09. september 2010 - 22:30 #17
C:\Musik\Gabriella Cilmi - Lessons to be Learned (2008)\07 - Messy - Gabriella Cilmi.mp3    a variant of WMA/TrojanDownloader.GetCodec.gen trojan (cleaned - quarantined)

Dén var ihvertfald da helt gal. Hvis det ellers er "legal" musik så behold det.
http://www.spywarefri.dk/artikel/farerne-ved-fildeling/

Jeg er ret sikker på at du er "clean", og hvis du holder dig fra "cracks", og lignende, kan du forblive det.

Hvis du anskaffer et af de programmer jeg nævner, vil det også hjælpe.
Avatar billede OliverA Nybegynder
09. september 2010 - 22:33 #18
Ja, er begyndt at købe min musik på itunes.

Og jeg synes det ESET lyder fornuftigt, og prisen er fin.
Men det er jo lidt med det samme med de 3 programmer. Så er det ikke fint jeg købet ESET?
Avatar billede f-arn Guru
10. september 2010 - 08:23 #19
Eset er et udmærket proggram. Når du har købt det så:

Hent AVG Remover: http://www.avg.com/eu-en/download-tools (32 bit)
Afbryd internettet.
Afinstaller AVG
Kør AVG Remover
Installer Eset.
Tilslut internettet og opdater Eset.
Avatar billede OliverA Nybegynder
10. september 2010 - 18:06 #20
Så har jeg gjort som du har sagt.

Og nu kører min computer med ESET Smart Security. Computeren er også meget hurtigere nu ! :D

Tusind mange tak for din tid og hjælp! Det er jeg virkelig taknemmelig overfor!
Avatar billede f-arn Guru
10. september 2010 - 19:27 #21
http://www.eksperten.dk/faq#faq-3
Avatar billede OliverA Nybegynder
12. september 2010 - 02:13 #22
Skulle lige forstå systemet, men er klaret. Endnu en gang, tak
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
pop up black friday Af Malm i Virus 12 22/11/202420:49 03/12/202411:04
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 12:28 Send mail fra "Outlook New" via VBA i excel Af lonmat i Visual Basic
I går 11:00 DaVinci Resolve Af mort1 i Billedbehandling
I går 08:21 pc npa chater tv Af knuldefar1942 i Fri debat
28/0816:31 Genistallere office men koden melder registreret Af frem-ad i Andet software
28/0814:59 Solstråle diagram tekst og tekstboks formatering Af RikkePrikke i Excel
White papers
Flere white papers »


Premium
Teaser billede
Regeringen har præsenteret sit udspil til finansloven: Her er de vigtigste digitale nedslagspunkter
Læs mere »
Novo Nordisks CIO og digitale topchef, Anders Romare, forlader selskabet
Snart vil Microsoft automatisk gemme dine Word-filer i clouden
Efter fire års arbejde mangler Skattemininisteriet stadig beredskabsplaner for reetablering af flere kritiske it-systemer
Se alle »
Computerworld
Teaser billede
Apple klar med nye AirPods Pro 3 om få måneder – fans raser over ny funktion
Læs mere »
For bare et år siden var det her en af årtiets mest banebrydende Windows-pc’er – men virkeligheden er en anden nu
Test: Elegant smart-ur proppet med fede funktioner og endda til en pris, der er til at betale
Apples store iPhone-event er lige om hjørnet: Helt ny type af iPhones er i spil
Se alle »
CIO
Teaser billede
Stor kortlægning: Her er de 100 mest magtfulde it-personer i Danmark - se hele listen her
Læs mere »
Novo Nordisks CIO og digitale topchef, Anders Romare, forlader selskabet
Her er Danmarks tre bedste CISO'er lige nu: De er med i opløbet om at blive Årets CISO 2025
Microsoft vil nappe kunder fra VMware med nyt gratis værktøj
Se alle »
Job & Karriere
Teaser billede
Lille dansk it-virksomhed fra Vanløse lander drømmekontrakt, der rækker langt ind i stifterens pension
Læs mere »
Her er fidusen: Sådan fastholder KMD og Twoday deres it-folk i lang tid
Medarbejderflugt? Disse danske it-selskaber har sværest ved at holde på deres it-folk
Næstkommanderende i DSV's kæmpe it-afdeling siger farvel og tak: Skifter til topstilling i dansk transport-kæmpe
Se alle »
White paper
Teaser billede
Gør din backup til et aktiv i cybersikkerhedsindsatsen
Læs mere »
Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen
NIS2: Sådan styrker du både cybersikkerhed og compliance
Sådan får du succes med AI i hele organisationen
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »