/ Forside/ Teknologi / Internet / E-Mail / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
E-Mail
#NavnPoint
o.v.n. 20481
miritdk 16341
Klaudi 15149
refi 14168
dk 5555
tedd 5322
webnoob 5265
BjarneD 5014
emesen 4154
10  bentjuul 3460
Mystiske mails
Fra : Smukke_Ole
Vist : 1409 gange
300 point
Dato : 06-11-07 08:15

Hej !

Først lidt teknik:
Win XP PRO m. SP2 og fuldt opdateret
AVG Antivirus fuldt opdateret og daglig scanning.
Spamfighter fuldt opdaret
ZoneAlarm fuldt opdateret

Min ISP (Internet ServiceProvider) er Sonofon, og ind imellem modtager jeg fra
Postmaster@mail.sonofon.dk en mail om, at en mail fra mig af een eller anden grund ikke har kunnet afleveres til een eller flere af mig totalt ukendte mail-adresser.
Jeg anvender Outook Express, og har under Funktioner -> Indstillinger -> Fanebladet Sikkerhed markeret Advar mig, hvis andre programmer forsøger at sende e-mail på mine vegne.

Hvad kan det skyldes ?
Sonofon påstår, at de omtalte mails er sendt fra min computer, som jeg er den eneste, der har adgang til.

Smukke_Ole

 
 
Kommentar
Fra : hidane


Dato : 06-11-07 08:26

Ja, det lyder jo unægtelig som om du har noget, der sender mails ud uden dit vidende. Ellers udmærkede programmer du har installeret til at undgå det, men jeg vil alligevel anbefale SUPERAntiSpyware til et ekstra tjek. Findes på http://www.superantispyware.com/ - jeg har rigtig gode erfaringer med den både privat og professionelt, hvor den finder mere end andre antispyware- og antivirusprogrammer.

Outlook Express har jeg ikke den store fidus til sikkerhedsmæssigt - og forøvrigt heller ikke andre MS produkter, men de er jo nok svære at undgå. Har du fornyligt været forbi http://www.update.microsoft.com/ for at sikre dig, at Outlook Express er opdateret? Det er en rigtig god idé - ellers kan http://www.gmail.com/ bestemt anbefales istedet for. Så har du også adgang til din email, selvom du ikke er hjemme.

Hjalp det???

Kommentar
Fra : Smukke_Ole


Dato : 06-11-07 08:30


-> hidane

SUPERAntiSpyware er i øjeblikket i gang med at scanne. Så må jeg se, om og hvad den finder.
Udover det tidligere nævnte scanner jeg også med jævne mellemrum (ca. ugentlig) computeren med AdAware og SpyBot.

Jeg mener også, at holder OE opdateret, men for en sikkerheds skyld vil jeg lige checke en ganbg mere.

Smukke_Ole

Kommentar
Fra : miritdk


Dato : 06-11-07 08:38

hvis sonofon siger de kommer fra din computer og du er sikker på ingen andre har adgang/bruger den hjemmefra - så burde sonofon faktisk have lukket for din forbindelse indtil du har fået problemet løst.
Du kan udemærket være en del af de zombie pc´ere der desværre eksisterer uden at du ved det. Derved bliver din pc brugt til at udsende spam til andre - uden dit vidende om det . Er din pc en zombie har du noget skidt på din pc der snarest skal væk !

Hvis jeg var dig ville jeg sørge for at få evt skidt væk fra pc´en hurtigst muligt - det må sonofon også have sagt - eller burde i hvertfald have gjort.

Du kan tilmelde dig gratis som bruger her:

http://www.malwarecheck.dk/forum/

følge vejledningen her:

http://www.malwarecheck.dk/forum/viewtopic.php?t=9

og lægge loggen ind i kategorien samme sted med en kort beskrivelse af dit problem

http://www.malwarecheck.dk/forum/viewforum.php?f=11&sid=c35dfd67effe409d28f12b37a60ffbb9

Kommentar
Fra : Smukke_Ole


Dato : 06-11-07 09:54





Her er en hijack log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:07, on 06-11-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmer\Browser MOUSE\mouse32a.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programmer\SPAMfighter\SFAgent.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\asuskbservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmer\Fælles filer\Teleca Shared\Generic.exe
C:\Programmer\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Sony Ericsson\Mobile2\File Manager\FMObexServer.exe
C:\WINDOWS\notepad.exe
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.123hjemmeside.dk/lifeofmic
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programmer\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmer\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmer\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {07D09E9E-C667-45DD-B035-217BC2A61A3B} (ActiveX sikkerhedssoftware Control) - https://www.sparnord.dk/package/sdc/external/activex/ActiveXSikkerhedssoftware-prod-1.10.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmer\Fælles filer\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmer\Fælles filer\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7183 bytes

og logén fra Rootcheck

********************************* ROOTCHK-(21-09-07)-LOG, by ejvindh
06-11-2007 9:49:06,01

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-06 09:49:06
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\01f901000d18]
"000fdeb4554a"=hex:15,8f,82,fc,ae,61,fe,22,6d,e3,42,9c,bf,93,0a,94
"0012ee3e0a15"=hex:cb,29,f5,da,35,44,97,e8,ff,42,84,ec,36,d3,a7,72
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\01f901000d18]
"000fdeb4554a"=hex:15,8f,82,fc,ae,61,fe,22,6d,e3,42,9c,bf,93,0a,94
"0012ee3e0a15"=hex:cb,29,f5,da,35,44,97,e8,ff,42,84,ec,36,d3,a7,72

scanning hidden registry entries ...

scanning hidden files ...

hidden processes: 0
hidden services: 0
hidden files: 0

Kommentar
Fra : Smukke_Ole


Dato : 06-11-07 10:48


-> hidane

Nu har SUPERAntiSpyware efter en opdatering kørt siden 08.30 og den er gået i stå ved

C:\Documents and Settings\Mit navn\SendTo\Mobilos.lnk

Jeg kan ikke ved at klikke på Næste, Annuller eller på X'et i øverste højre hjørne "slå det ihjel".
Når jeg prøver ovenstående muligheder, bliver jeg spugt om jeg vil afslutte.
Svarer jeg bekræftende, sker der intet.
Kun ved at anvende Joblisten (Ctrk, Alt, Delete) markere processen og Afslut proces, kan jeg stoppe programmet.
Prøver jeg at navigere frem til stedet, kan jeg ikke finde den pågældende fil, ligesom søgefunktionen heller ikke finder den. Og ja, jeg har indstillet Stifinder, såledea at der vises skjulte mapper.

Smukke_Ole

Kommentar
Fra : miritdk


Dato : 06-11-07 12:00

hvis du absolut ikke kan vente og VIL køre superantispyware nu - så prøv at køre den i fejlsikret tilstand - det kunne jo være det hjalp

ellers vent og se om stl_s eller arlet dukker op her - gør de ikke så skal du nok lægge logsene ind som jeg beskrev i første omgang på malwarecheck.dk

Kommentar
Fra : Smukke_Ole


Dato : 06-11-07 13:34


-> miritdk

Har lige fået SuperAntiSpyware til at "køre igennem" ved med "håndkraft" at slette de filer, hvor den var gået i stå.

Jeg venter (og håber)



Smukke_Ole

Kommentar
Fra : hidane


Dato : 06-11-07 13:41

Jeg følger også med i spænding - men igen kan jeg kun anbefale dig at droppe Outlook Express og få dig noget godt webmail - som eksempelvis Gmail... men der er vist anbefaling af Gmail i en anden tråd, så det vil jeg lade ligge hér...


Kommentar
Fra : Haps


Dato : 06-11-07 14:43

Hej.

Det kan også være at en spammer bruger din (og mange andres) mailadresse som afsender på det spam som sendes.

Hvis en af modtagerne så af uvisse årsager ikke kan modtage mailen, vil modtagerens udbyder sende svar tilbage til afsender. I dette tilfælde er det bl.a. din mail adresse.

Det er såkaldt spoofing.

Det er ikke nødvendigvis mails sendt fra din maskine, men en mail sendt med din adresse som afsender.

Du kan sammenligne det med, at du sender en brev med posten. På brevet skriver du f.eks. din nabos adresse på som afsender.
Adressen du sender til eksisterer ikke eller er ufuldkommen.
Post Danmark sender derfor brevet tilbage til afsender; Din nabo.

Post Danmark/udbyderens mailserver ved ikke bedre.

/Haps

Kommentar
Fra : hidane


Dato : 06-11-07 16:13

Haps har helt klart sagens løsning - beklager, at jeg ikke lige tænkte på den. Jeg har netop oplevet dette flere gange, så du kan formentlig sove roligt i nat. Nu siger jeg ikke, at du uforvarende har givet din email adresse ud til skumle personer, men én eller anden har fået fat i den - muligvis via en mail, som er blevet videresendt og videresendt og som har indeholdt bl.a. din email adresse - og misbruger den nu ved at anvende den som afsenderadresse.

Kommentar
Fra : miritdk


Dato : 06-11-07 17:01

spoofed eller zombie - det skal i hvertfald ses efter for en sikkerheds skyld

Kommentar
Fra : stl_s


Dato : 06-11-07 17:34

Lad os tjekke for bots:

Hent og dobbeltklik denne fil. Den pakker sig ud til C:\SDFix:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Genstart i fejlsikret, hvis du ikke ved hvordan så kig her (Scroll ned til "Sådan får du adgang til fejlsikret tilstand") http://kimludvigsen.dk/tips-windows-fejlsikret.html


Gå så ind i mappen SDFix på C drevet. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

-----------------------------------------------------------------

Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Kør så combofix.exe, og følg vejledningen i vinduet.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt

Kopier loggen her ind.

Kommentar
Fra : Gucci1704


Dato : 06-11-07 20:26

Jeg bruger Avast virus program + superantispy (har skiftet fornyeligt fra AVG + Adware, da disse ikke længere er optimale)

Jeg kan kun anbefale disse to gratis programmer
Avast fandt hurtigt en virus (newdotnet), som jeg ved jeg havde kørt med længe. Den kan desuden lave en opstarts scan (tager lang tid).
http://www.avast.com/eng/avast_4_home.html

Kommentar
Fra : Smukke_Ole


Dato : 07-11-07 08:50

Her er resultatet fra RunThis.bat


SDFix: Version 1.113

Run by Administrator on 07-11-2007 at 08:44

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\NVCPL.DLL - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 08:47:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Den angivne fil blev ikke fundet.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\01f901000d18]
"000fdeb4554a"=hex:15,8f,82,fc,ae,61,fe,22,6d,e3,42,9c,bf,93,0a,94
"0012ee3e0a15"=hex:cb,29,f5,da,35,44,97,e8,ff,42,84,ec,36,d3,a7,72
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\01f901000d18]
"000fdeb4554a"=hex:15,8f,82,fc,ae,61,fe,22,6d,e3,42,9c,bf,93,0a,94
"0012ee3e0a15"=hex:cb,29,f5,da,35,44,97,e8,ff,42,84,ec,36,d3,a7,72

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:K›r en DLL som et program"
"C:\\Programmer\\Kazaa Lite K++\\Kazaa.kpp"="C:\\Programmer\\Kazaa Lite K++\\Kazaa.kpp:*:Enabled:Kazaa"
"C:\\Programmer\\Messenger\\msmsgs.exe"="C:\\Programmer\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programmer\\eMule\\emule.exe"="C:\\Programmer\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\WINDOWS\\system32\\dxdiag.exe"="C:\\WINDOWS\\system32\\dxdiag.exe:*:Disabled:Microsoft DirectX Diagnostic Tool"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Disabled:Microsoft DirectPlay8 Server"
"C:\\Programmer\\Spybot - Search & Destroy\\SpybotSD.exe"="C:\\Programmer\\Spybot - Search & Destroy\\SpybotSD.exe:*:Enabled:Spybot - Search & Destroy"
"C:\\Programmer\\WebWriter4\\WebWrite.exe"="C:\\Programmer\\WebWriter4\\WebWrite.exe:*:Enabled:Stone's WebWriter HTML-editor"
"C:\\Programmer\\MSN Messenger\\msncall.exe"="C:\\Programmer\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programmer\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"="C:\\Programmer\\InternetCalls.com\\InternetCalls\\InternetCalls.exe:*:Enabled:InternetCalls"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmer\\MSN Messenger\\msnmsgr.exe"="C:\\Programmer\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmer\\MSN Messenger\\livecall.exe"="C:\\Programmer\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programmer\\Tobit ClipInc\\Player\\ClipInc-Player.exe"="C:\\Programmer\\Tobit ClipInc\\Player\\ClipInc-Player.exe:*:Enabled:ClipInc. Player"
"C:\\Programmer\\Grisoft\\AVG7\\avginet.exe"="C:\\Programmer\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe"="C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe"="C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"
"C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:Disabled:Microsoft Fax Console"
"C:\\Programmer\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"="C:\\Programmer\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe:*:Disabled:Nero ShowTime"
"C:\\Programmer\\Ahead\\Nero ShowTime\\ShowTime.exe"="C:\\Programmer\\Ahead\\Nero ShowTime\\ShowTime.exe:*:Disabled:Nero ShowTime"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe:*:Enabled:Fjernsupport - Windows Messenger og samtale"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Programmer\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Documents and Settings\\Ole Thorsen\\Lokale indstillinger\\Temporary Internet Files\\Content.IE5\\OXUC7QIC\\tdc_hastighedstest[1].exe"="C:\\Documents and Settings\\Ole Thorsen\\Lokale indstillinger\\Temporary Internet Files\\Content.IE5\\OXUC7QIC\\tdc_hastighedstest[1].exe:*:Enabled:TDC Hastighed"
"C:\\Programmer\\Skype\\Phone\\Skype.exe"="C:\\Programmer\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programmer\\MSN Messenger\\msncall.exe"="C:\\Programmer\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmer\\MSN Messenger\\msnmsgr.exe"="C:\\Programmer\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmer\\MSN Messenger\\livecall.exe"="C:\\Programmer\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 8 Jul 2007 5,388,088 A..H. --- "C:\Programmer\Picasa2\setup.exe"
Sun 25 Feb 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 19 Sep 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRMBACKUP_2-00_200857\DRMv1.bak"
Fri 3 Mar 2006 312 A..H. --- "C:\program files\InterActual\InterActual Player\iti2.tmp"
Sun 25 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 25 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRMBACKUP_2-00_200857\Cache\Indiv01.tmp"

Finished!


og her rapporten fra ComboFix
ComboFix 07-11-07.3 - Ole Thorsen 2007-11-07 8:54:12.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1030.18.617 [GMT 1:00]
Running from: C:\Documents and Settings\Ole Thorsen\Skrivebord\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((( Files Created from 2007-10-07 to 2007-11-07 )))))))))))))))))))))))))))))))
.

2007-11-07 08:53   51,200   --a------   C:\WINDOWS\NirCmd.exe
2007-11-07 08:43   <DIR>   d--------   C:\WINDOWS\ERUNT
2007-11-07 08:42   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Skrivebord
2007-11-07 08:42   <DIR>   d--h-----   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Skabeloner
2007-11-07 08:42   <DIR>   d--h-----   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Printere
2007-11-07 08:42   <DIR>   dr-------   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Menuen Start
2007-11-07 08:42   <DIR>   d--h-----   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Lokale indstillinger
2007-11-07 08:42   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Foretrukne
2007-11-07 08:42   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Dokumenter
2007-11-07 08:42   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Application Data\Sony Ericsson
2007-11-07 08:42   <DIR>   d--h-----   C:\Documents and Settings\Administrator.OLESCOMPUTER.001\Andre computere
2007-11-06 11:36   <DIR>   d--------   C:\Documents and Settings\Ole Thorsen\Application Data\SUPERAntiSpyware.com
2007-11-06 11:06   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.000\Skabeloner
2007-11-06 11:06   <DIR>   d--------   C:\Documents and Settings\Administrator.OLESCOMPUTER.000\Lokale indstillinger
2007-10-31 13:27   <DIR>   d--------   C:\Programmer\Fælles filer\Application
2007-10-31 13:27   <DIR>   d--------   C:\Programmer\Fælles filer\Ankiro
2007-10-23 14:49   <DIR>   d--------   C:\Documents and Settings\Ole Thorsen\Application Data\Uniblue
2007-10-15 07:26   <DIR>   d--------   C:\Programmer\Topala Software Solutions
2007-10-07 13:26   <DIR>   d--------   C:\Documents and Settings\Ole Thorsen\Application Data\Printer Info Cache
2007-10-07 13:20   <DIR>   d--------   C:\Documents and Settings\Ole Thorsen\Application Data\Image Zone Express
2007-10-07 13:16   <DIR>   d--------   C:\Documents and Settings\Ole Thorsen\Application Data\HP
2007-10-07 13:15   <DIR>   d--------   C:\Documents and Settings\All Users\Application Data\HP
2007-10-07 13:14   <DIR>   d--------   C:\Programmer\Fælles filer\HP
2007-10-07 13:11   77,824   -ra------   C:\WINDOWS\system32\HPZIDS01.dll
2007-10-07 13:11   38,400   --a------   C:\WINDOWS\system32\hpz3l054.dll
2007-10-07 13:09   <DIR>   d--------   C:\Programmer\HP
2007-10-07 13:08   127,001   --a------   C:\WINDOWS\hpoins11.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 07:55   189,116,448   --sha-w   C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-07 07:40   2,217,968   --sha-w   C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-07 07:26   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\avg7
2007-11-06 22:15   ---------   d-----w   C:\Programmer\Google
2007-11-06 16:49   ---------   d-----w   C:\Documents and Settings\Ole Thorsen\Application Data\Skype
2007-11-06 11:50   ---------   d-----w   C:\Programmer\SUPERAntiSpyware
2007-11-06 10:36   ---------   d-----w   C:\Programmer\Fælles filer\Wise Installation Wizard
2007-11-06 08:57   7,184   ----a-w   C:\Programmer\hijackthis.log
2007-11-04 15:01   ---------   d-----w   C:\Programmer\eMule
2007-11-02 13:20   ---------   d-----w   C:\Programmer\SPAMfighter
2007-11-02 09:14   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-10-24 05:10   ---------   d-----w   C:\Programmer\Logitech
2007-10-24 05:10   ---------   d-----w   C:\Programmer\Fælles filer\Logitech
2007-10-23 14:00   ---------   d-----w   C:\Programmer\hp deskjet 3320 series
2007-10-17 09:21   ---------   d-----w   C:\Programmer\ListMaker
2007-10-16 08:38   ---------   d-----w   C:\Programmer\TweakNow RegCleaner Std
2007-10-11 07:51   ---------   d-----w   C:\Programmer\Java
2007-10-07 12:15   ---------   d-----w   C:\Programmer\Hewlett-Packard
2007-09-19 17:31   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-09-17 05:30   12,322,756   ------w   C:\avg7qt.dat
2007-09-13 10:51   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Microsoft Corporation
2007-09-13 09:14   ---------   d-----w   C:\Documents and Settings\Ole Thorsen\Application Data\Teleca
2007-09-13 09:13   ---------   d-----w   C:\Programmer\Fælles filer\Teleca Shared
2007-09-13 09:12   ---------   d-----w   C:\Programmer\Sony Ericsson
2007-09-13 09:12   ---------   d-----w   C:\Programmer\Fælles filer\Sony Ericsson Shared
2007-09-13 09:12   ---------   d-----w   C:\Documents and Settings\Ole Thorsen\Application Data\Sony Ericsson
2007-09-13 09:12   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Teleca
2007-09-13 09:12   ---------   d-----w   C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2007-09-11 07:05   ---------   d--h--w   C:\Programmer\InstallShield Installation Information
2007-09-11 07:05   ---------   d-----w   C:\Programmer\MiTAC Research (Shanghai) Ltd
2007-09-06 14:14   75,248   ----a-w   C:\WINDOWS\zllsputility.exe
2007-09-06 14:14   1,086,952   ----a-w   C:\WINDOWS\system32\zpeng24.dll
2007-08-21 06:17   683,520   -c--a-w   C:\WINDOWS\system32\inetcomm.dll
2006-06-23 14:43   168,048   -c--a-w   C:\Documents and Settings\Ole Thorsen\DynGate_Setup.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-26 16:53 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"FLMOFFICE4DMOUSE"="C:\Programmer\Browser MOUSE\mouse32a.exe" [2006-04-12 09:23]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-23 06:00]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2004-12-16 18:55]
"SPAMfighter Agent"="C:\Programmer\SPAMfighter\SFAgent.exe" [2007-06-25 14:03]
"ZoneAlarm Client"="C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 15:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-26 16:53]
"swg"="C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-25 19:51]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Adobe Reader Hurtigstart.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\Adobe Reader Hurtigstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader Hurtigstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^hp psc 1000 series.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^hpoddt01.exe.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^TV Remote Control.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\TV Remote Control.lnk
backup=C:\WINDOWS\pss\TV Remote Control.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^Ulead Photo Express 4.0 SE Calendar Checker .lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\Ulead Photo Express 4.0 SE Calendar Checker .lnk
backup=C:\WINDOWS\pss\Ulead Photo Express 4.0 SE Calendar Checker .lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^USB Phone Driver Startup.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\USB Phone Driver Startup.lnk
backup=C:\WINDOWS\pss\USB Phone Driver Startup.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^ymetray.lnk]
path=C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\ymetray.lnk
backup=C:\WINDOWS\pss\ymetray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASM]
"C:\Programmer\AOL\Active Security Monitor\ASMonitor.exe" HIDEMAIN

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB]
C:\Programmer\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKey]
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programmer\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
C:\Programmer\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
C:\Programmer\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LWBMOUSE]
C:\Programmer\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programmer\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PVR Agent]
C:\Programmer\Zolid Multimedia\PVR Plus\TVR\Scheduled.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programmer\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Programmer\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Programmer\SUPERAntiSpyware\SUPERANTISPYWARE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TeamViewer]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USIUDF_Eject_Monitor]
C:\Programmer\Fælles filer\Ulead Systems\DVD\USISrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"InCDsrv"=2 (0x2)
"Fax"=2 (0x2)

R0 tffsport;M-Systems DiskOnChip 2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys
R3 Cap7134;Philips Cap7134 Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 PhTVTune;Zolid WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\DRIVERS\anvioctl.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a84723e5-08f6-11da-832a-806d6172696f}]
\Shell\AutoRun\command


*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2007-07-10 05:49:28 C:\WINDOWS\Tasks\RegClean Scheduled Scan.job"
- C:\Programmer\RegClean\RegClean.exe
"2007-10-23 13:49:36 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Programmer\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-10-23 13:49:36 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Programmer\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-07 08:56:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-07 8:56:47
.
   --- E O F ---


Undervejs i ComboFix kom AVG to gange med en meddelelse om, at der var fundet trojanere.
Jeg klikkede på Heal knappen, og AVG svarede at det pågældende var fjernet

Smukke_Ole

Kommentar
Fra : stl_s


Dato : 07-11-07 13:57

Nogle virusscannere tager fejl af ComboFix. Der er ikke noget "snavs" i den.

SDFix slettede den fil du havde problemer med her http://www.kandu.dk/spg97464.aspx Umiddelbart tror jeg det er en fejl, men fred være med den. Du har ikke umiddelbart brug for den. Skulle du på et tidspunkt får brug for den, kan du geninstallere den fra CD`en.

Ellers ser der ikke ud til at være noget, men lad os lige tage et ekstra tjek:

Hent RootkitBuster her fra http://www.trendmicro.com/download/rbuster.asp

Pak programmet ud til skrivebordet. Kør programmet og klik Scan.

Når det er færdig med scanningen, spørger programmet om du vil se logfilen. Det klikker du ja til. Kopier loggen her ind.

Kommentar
Fra : Smukke_Ole


Dato : 08-11-07 09:50


-> stl_s

Her er loggen fra RootKitBuster


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.



Smjukke_Ole

Accepteret svar
Fra : stl_s

Modtaget 300 point
Dato : 08-11-07 17:38

Der er ikke noget der tyder på, at din maskine skulle være inficeret. Så forklaringen er nok, at din emailadresse ligger på en inficeret maskine, og bliver misbrugt til spamafsendelse. Så du kan nok ikke forvente, at dine "mystiske mails" ophører før maskinen bliver renset. Vi må så krydse fingre for, at din udbyder ikke lukker din forbindelse, i den tro at det er dig der er afsenderen. Det er desværre set før.

Godkendelse af svar
Fra : Smukke_Ole


Dato : 09-11-07 20:16

Tak for svaret stl_s.
Det var lige det, der skulle til

Smukke_Ole

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408857
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste