---

Jeg har i windowsmappen (XP-home) fået 2 nye filer: efoplaam.exe + efoplaam.pf, tilsyneladende dos-filer. Ved nogen om det er noget 'snavs' eller andet lign. exe-filen vil på nettet når pc'en tændes...
Hverken etrust-antivir., ad-aware eller Housecall onlinescan finder noget ?

Solvognen

---

Hmm? Hvis den vil på nettet må der jo stå en reference til filen et eller andet sted? Ligger der noget under Startfolderen? Eller er der en henvisning hvis du kører msconfig under start?

---

Ingenting i start, men ja, exe-filen optræder 2 gange i msconfig/start...
Nu har jeg også Google, men uden resultat.

Solvognen

---

Tror det er noget snavs!! Kan du sende en hijackthis log fil ind?

---

Det prøver jeg, der går nok tid (første gang)

Solvognen

---

OK, her er Hijack-logfil:

Logfile of HijackThis v1.99.0
Scan saved at 16:21:18, on 13-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
E:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
E:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Programmer\ahead\InCD\InCD.exe
C:\ImageMate CompactFlash USB\SandIcon.Exe
C:\WINDOWS\efoplaam.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
e:\PROGRA~1\Webshots\webshots.scr
C:\WINDOWS\System32\VetMsgNT.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Outlook Express\msimn.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\migselv\Skrivebord\HijackThis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ekstrabladet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VetTray] e:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmer\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [QFccEb1] C:\WINDOWS\efoplaam.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W
}ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\efoplaam.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmer\Messenger\msmsgs.exe" /background
O4 - Startup: Webshots.lnk = E:\Programmer\Webshots\Launcher.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programmer\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programmer\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\MSMSGS.EXE
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: VET Message Service - Unknown - C:\WINDOWS\System32\VetMsgNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)

Solvognen

---

Det er disse der driller:
O4 - HKLM\..\Run: [QFccEb1] C:\WINDOWS\efoplaam.exe
O4 - HKLM\..\Run: [¢‰¸K0¨4W }ïÁzî[8C:\Programmer\ISTsvc\istsvc.exe] C:\WINDOWS\efoplaam.exe

Og jeg vil næsten æde min gamle hat på, at selv om du sletter dem, så kommer der nogle nye med et nyt navn næste gang du enten aktiver internet explorer, eller booter maskinen.

Du har med 99,9% sikkerhed snavs (trojansk virus) på maskinen.

Du må nok prøve med noget andet, f.eks McAfee/Norton/Sophos antivirus - eller f.eks. AVG antivirus....

mvh berpox

---

nå ja - husk lige at slå systemgendannelsen fra....da du ellers blot risikerer at gendanne vira....

---

Tak for svaret berpox.
En tur med AVG viste jeg havde fået istbar ind (igen-igen), så måske de 2 andre stammer herfra. Jeg prøvede som foreslået + istbar-removaltool, nu funker det igen. Underligt at hverken onlinescan ell. etrust finder dette..

Solvognen

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.