/ Forside/ Teknologi / Operativsystemer / MS Windows / Spørgsmål
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
MS Windows
#NavnPoint
Klaudi 76474
o.v.n. 67550
refi 58409
tedd 45557
Manse9933 45149
molokyle 40687
miritdk 38357
briani 27239
BjarneD 26414
10  pallebhan.. 24310
Fejl efter virus på XP pro sp2
Fra : svnmp
Vist : 1802 gange
100 point
Dato : 27-12-06 21:31


1.
Jeg har haft trojanske heste på min computer og noget andet småsnask, som åbentbart har sneget sig udenom min antivirus og firewall (avg free og zonealarm free). jeg blev først opmærksom på dette efter at have downloaded en "sonar screensaver keygen" der efter et enkelt klik simpelt hen forsvandt fra mit skrivebord, hvilket satte mine alarmklokker igang.Yderligere begyndte programmet "services.exe" at spørge om adgang til internettet, dette program var pludselig "klonet" og blevet til flere, disse er så slettet igen.
2.
Herefter gennemsøgte jeg computeren med avg (antivirus) og efter anbefaling drweb, som fandt og eliminerede en hulens masse "heste", backdoors og dialers. efterfølgende har jeg ikke kunnet køre windows update og den tilhørende active x-objekt kan heller ikke installeres, derudover er min printerdriver gået i selvsving og min internet explorer kan ikke opdateres til version 7, under første del af inst. genstarter computeren og skriver at den er genoprettet efter en alvorlig fejl.
3.
Sluttelig prøvede jeg at køre to programmer fra "start","kør" nemlig SFC /scannow, som skulle rette systemfejl i windows, men dette program kan ikke initialiseres korrekt og skriver programfejl(0xc000007b), og "repair windows", hvilket bare åbner en mappe, der hedder "repair" med filer jeg ikke aner hvad er.
Sidste mulighed var, ind med xp-cdén og køre rep. herfra, men jeg når frem til dos- skærm hvor den spørger hvilken windows jeg vil reparere, hvorefter den skriver "windows" efterfulgt af et ettal, i næste linie kan man trykke enter for at afslutte, jeg valgte så at skrive et ettal, hvorefter den spørger efter administratoradgangskoden,-sådan en har jeg ikke, så jeg trykker enter igen- næste linie er så "C:\windows" og så vidt jeg husker nogle andre symboler, hvis jeg trykker enter gentager den bare ovennævnte for hver gang jeg trykker.

Som man kan læse er tingene ikke rigtig lykkedes for mig og jeg orker faktisk ikke at skal reinstallere windows forfra, så er der nogen, der har en løsning (helst ikke for kompliceret) så vil en træt mand blive glad.

Hilsen BT

 
 
Kommentar
Fra : Sunowich


Dato : 27-12-06 21:35

Ind hos www.spywarefri.dk og lav en onlinescan

Kommentar
Fra : Sunowich


Dato : 27-12-06 21:37

Og måske skulle du også lave en hijack this fil og så lægge den ind her

Kommentar
Fra : svnmp


Dato : 27-12-06 21:42

Hej sunowich

Den onlinescan du nævner, hvad giver den af oplysninger til en løsning ? og en "hijack this fil" kender jeg kun af omtale, men ellers aner jeg ikke hvad det er

Hilsen BT

Kommentar
Fra : stl_s


Dato : 27-12-06 21:43
Kommentar
Fra : Sunowich


Dato : 27-12-06 21:50

Nå ok så er du jo igang så skal du nok få problemet klaret
Mvh Sune
Godt nytår

Kommentar
Fra : svnmp


Dato : 27-12-06 21:53

Hej stl_s

Hermed min logfil

Logfile of HijackThis v1.99.1
Scan saved at 21:49:23, on 27-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
D:\Installerede Programmer\I tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Microsoft Time Zone\TimeZone.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Installerede Programmer\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmer\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Installerede Programmer\Acrobat reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RunBus Class - {4865F155-CE00-4E93-A414-147844D7C81A} - C:\WINDOWS\system32\tcblljcg.dll
O2 - BHO: ohb - {5ED7D3DE-6DBE-4516-8712-436325722327} - C:\WINDOWS\system32\SmartShopper\SmartShopper0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Installerede Programmer\I tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [adstart] "iexplore.exe" "http://iesettingsupdate"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Installerede Programmer\Acrobat reader\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Timezone] "C:\Programmer\Microsoft Time Zone\TimeZone.exe"
O4 - HKCU\..\Run: [Chckup] C:\WINDOWS\system32\Netverchk.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Installerede Programmer\Acrobat reader\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167167466125
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hilsen BT

Kommentar
Fra : stl_s


Dato : 27-12-06 22:16

Ja, du har stadigvæk flere ubehageligheder indenbords, så jeg vil foreslå dig nogle flere scanninger.


Hent denne virus scanner, den skal du bruge senere.

http://www.spywareinfo.dk/download/mwav.exe

Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files.



Hent denne scanner http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Installer, og opdater scanneren manuelt. OBS, ved installationen bliver det foreslået at du registrerer med din email. Det behøver du ikke at gøre.


Start op i fejlsikret tilstand (tast f8 flere gange under opstart). Hvis du ikke kan det, så se her
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=110&PN=1


Kør scanneren MWAV.exe. Klik Scan/clean.


Når den er færdig:


Start SuperAntiSpyware, klik "Scan your computer", sæt flueben i dine drev, ovre til venstre i vinduet. Ovre til højre i vinduet, sætter du prik i "Perform Complete Scan". Klik "næste", nu scanner den. Når den er færdig, så markerer du det den finder, og lader scannereren fjerne det.

Genstart til normal tilstand (scanneren tilbyder måske at gøre det).

Åbn scanneren igen, og klik "preferences"-> "stastics/logs". Marker loggen, og klik "View log". Kopier loggen her ind i tråden, sammen med en frisk HijackThis log.

Kommentar
Fra : thecool-boy


Dato : 28-12-06 00:53

afinstaler alle programmer undtagen windows hent derefter spywarefighter og avg free og kør dem ....efter det windows update det burde lade sig gøre at køre det nu..... efter det instalere du dine programmer igen....så kører den på ny

Kommentar
Fra : Sunowich


Dato : 28-12-06 01:38

thecool-boy Lyder fikst men hvoffor tror du at alt det der er igang- er sat igang ??

Kommentar
Fra : thecool-boy


Dato : 28-12-06 01:40

forkert besøgte sider mangel på hjerne (tag det ikke personligt)

Kommentar
Fra : Sunowich


Dato : 28-12-06 11:43

Snakker du nu også med dig selv ?????

Kommentar
Fra : thecool-boy


Dato : 28-12-06 12:02

ej da jeg er enig med mig selv

Kommentar
Fra : svnmp


Dato : 28-12-06 15:06

Hej "the cool-boy"

Tak for din meget enkle løsning, jeg gør lige det færdig jeg er startet på med "stl_s" og skulle det ikke fungere, vil jeg selvfølgelig prøve den næste løsning, som jo her, må være din.

Hilsen BT


Kommentar
Fra : thecool-boy


Dato : 28-12-06 17:32

godt så min er ikke meget enkel den er mega enkel :p

Kommentar
Fra : svnmp


Dato : 28-12-06 18:18

Hej stl_s

Hermed min logfil efter scanning, mwav logfilen fylder simpelt hen for meget, til at kopiere herind.

Logfile of HijackThis v1.99.1
Scan saved at 14:58:48, on 28-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
D:\Installerede Programmer\I tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Microsoft Time Zone\TimeZone.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
D:\Installerede Programmer\Acrobat reader\Reader\reader_sl.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Installerede Programmer\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Installerede Programmer\Acrobat reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "D:\Installerede Programmer\I tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Installerede Programmer\Acrobat reader\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [Timezone] "C:\Programmer\Microsoft Time Zone\TimeZone.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Installerede Programmer\Acrobat reader\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167167466125
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Hilsen BT


Kommentar
Fra : stl_s


Dato : 28-12-06 19:12

Ja Mwav loggen er enorm. Det var nu også loggen fra SuperAntiSpyware jeg var interesseret i. Men never mind, de to scannere tømte loggen for skidt. Men jeg vil foreslå at du lige tager et tjek med dette værktøj:

Hent og dobbeltklik denne fil. Den pakker sig ud til C:\SDFix:
http://downloads.andymanchesta.com/RemovalTools/SDFix.zip

Genstart i fejlsikret, hvis du ikke ved hvordan så kig her:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

Gå så ind i mappen SDFix på C drevet. Dobbeltklik på filen RunThis.bat, for at starte værktøjet. Tryk "y" for at bekræfte, at du kører værktøjet på egen risiko. Så vil værktøjet gå i gang med at fjerne trojanservicen, og lave et par reparationer af registreringsdatabasen. På et tidspunkt vil det bede dig om at trykke en taste for at genstarte computeren. Det skal du gøre, hvorefter computeren vil genstarte efter 15 sekunder.

Genstarten vil tage lidt længere end sædvanligt, idet værktøjet skal have tid til at udføre sit arbejde. Når skrivebordet dukker op, vil værktøjet skrive "Finished". Tryk herefter en taste for at indlæse dine skrivebordsikoner igen.

Åben så SDFix-mappen, find filen Report.txt, og kopier indholdet af denne fil herind.

Der vil jeg MEGET gerne se loggen bagefter.

Kommentar
Fra : svnmp


Dato : 28-12-06 20:14

Hej stl_s

Hermed logfil fra sdfix

SDFix: Version 1.52
****************

28-12-2006 - 20:03:08,54

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Stage One - Safe Mode

Checking Services...

Service Name:


File Path:



Starting Registry Repairs...

Restoring Default Hosts File...

Stage One Complete

Rebooting...

Stage Two - Normal Mode

Checking For Malware:
--------------------

C:\WINDOWS\NV_saluteartirst_ss_04.exe.exe
C:\DOCUME~1\BOJENS~1\LOKALE~1\Temp\cd15.tmp.exe
C:\WINDOWS\PART0100.DAT
C:\WINDOWS\system32\winsys.exe

Backing Up and Removing any Files Found...

Alternate Stream Check:

C:\WINDOWS\system32
No streams found.
Final Check:

Remaining Services:
------------------

[COLOR=RED]Rootkit PE386 Found![/COLOR]. Rootkit scan Needed...


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Checking for files with Hidden Attributes:

C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\Documents and Settings\Bo Jensen\Lokale indstillinger\Temp\$b17a2e8.tmp
C:\WINDOWS\Temp\$_2341233.TMP
C:\WINDOWS\Temp\$_2341235.TMP

FINISHED!


Hilsen BT

Kommentar
Fra : stl_s


Dato : 28-12-06 20:30

Det anede mig at du også var blevet "beriget" med et "Rustock" rootkit. Heldigvis er der en kløgtig dansker ved navn Ejvind, der har lavet en kur til den:

1. Hent dette værktøj, og gem det på skrivebordet:

http://www.uploads.ejvindh.net/rustbfix.exe

2. Dobbeltklik på værktøjet. Hvis værktøjet finder en Rustock-infektion, vil du efter kort tid blive bedt om at genstarte computeren. Dette skal du så acceptere. Genstarten vil muligvis tage et godt stykke tid, og måske skal der 2 genstarter til, men dette vil ske helt automatisk. Når genstarten er færdig vil der åbnes 2 logfiler, som du skal kopiere ind i tråden.


Kommentar
Fra : svnmp


Dato : 28-12-06 20:36

Hej stl_s

Hvad er det helt præcis du mener med "kopiere ind i tråden"

Hilsen BT

Kommentar
Fra : stl_s


Dato : 28-12-06 20:41

Bare sætte loggen her ind, lige som du gjorde med de andre logs.

Kommentar
Fra : svnmp


Dato : 28-12-06 20:47

Du får begge logs her

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pqrxubwr

*******************

Script file located at: \??\C:\WINDOWS\system32\ioqenbjb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.




************************* Rustock.b-fix -- By ejvindh *************************
28-12-2006 20:36:40,62

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 69038
Total size: 69038 bytes.
Attempting to remove ADS...
system32: deleted 69038 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************


Hilsen BT

Kommentar
Fra : stl_s


Dato : 28-12-06 20:52

Fint, så er den ryddet af vejen. Kom lige med frisk HijackThis log.

Kommentar
Fra : svnmp


Dato : 28-12-06 20:55

Den kommer her


Logfile of HijackThis v1.99.1
Scan saved at 20:53:41, on 28-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
D:\Installerede Programmer\I tunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\Microsoft Time Zone\TimeZone.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Installerede Programmer\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programmer\HJTrenamed.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signon.stofanet.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Installerede Programmer\Acrobat reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmer\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "D:\Installerede Programmer\I tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmer\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Installerede Programmer\Acrobat reader\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [Timezone] "C:\Programmer\Microsoft Time Zone\TimeZone.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Installerede Programmer\Acrobat reader\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programmer\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167167466125
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hilsen BT

Kommentar
Fra : stl_s


Dato : 28-12-06 21:06

Den ser fin ud, men der er lige et par stykker du kan fixe:

Kør HijackThis klik "Do a systemscan only". Sæt flueben ved disse liner, og klik på fix checked

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s


Hvordan arter maskinen sig nu ?

Kommentar
Fra : svnmp


Dato : 28-12-06 21:17

Hej stl_s

Maskinen kører OK, men den kan stadig ikke køre windows update, når den skal installere det activeX-objekt, kommer der en kort knurrelyd fra pc-toweret og så sker der ikke mere.

Efter at dette er sendt, vil jeg prøve at installere opdatering til internet explorer ver. 7.

Hilsen BT

Kommentar
Fra : stl_s


Dato : 28-12-06 21:40

Kopier nedenstående imellem de stiplede linier med fed skrift ind i notesblok:

----------------------------

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\WindowsUpdate]


----------------------------

I "Filtype" vælger du "Alle filer". Gem dokumentet med navnet fixwu.reg

Nu har du registreringsfilen fixwu.reg liggende på skrivebordet.

Dobbeltklik på den, og sig ok til regeditor. Tjek om Windows Update virker efter en genstart.

Hvis ikke, så hent Dial-A-Fix her http://www.softpedia.com/get/System/System-Miscellaneous/Dial-a-fix.shtml

Pak den ud, og kør Dial-A-Fix (Det blå "tandhjul") Hvis den spørger om du vil fjerne restriktioner når du kører den, så klik "remove".

I vinduet sætter du så flueben i Fix Windows installer- Fix Windows Update - og alt i Registration centerog klikker GO. Lad den kører færdig, og se om det virker efter en genstart.

Kommentar
Fra : svnmp


Dato : 28-12-06 22:14

Jeg har nu prøvet begge dele og ingen af dem fungere, jeg kan stadig ikke installere windows-opdateringssoftwaren (activex-objekt)

Under dial a fix kommer en fejl 193 op, når programmet regulere under windows update delen. Det handler om en dll fil.


Kommentar
Fra : stl_s


Dato : 28-12-06 22:19

Prøv lige om du kan køre en sfc /scannow, og så Dial-A-Fix igen.

Kommentar
Fra : svnmp


Dato : 28-12-06 22:21

Det kan stadig ikke initaliseres og kommer med samme fejl nævnt i indlægget

Kommentar
Fra : stl_s


Dato : 28-12-06 22:32

Ok, vi må prøve at fjerne nogle flere restriktioner, som skidtet kan have lavet.

I mappen med Dial-A-Fix ligger filen secedit.exe. den lægger du ned i C:/Windows/System32 mappen.

Start så Dial-A-Fix igen, og klik på hammeren (tools) nederst i vinduet. Marker så "Repair permissions" og klik GO. Når den er færdig, så kør "SFC Purge" og "SFC scannow" på samme måde.

Fik du fat i navnet på den dll der var problemer med ?

Kommentar
Fra : svnmp


Dato : 29-12-06 17:58

Jeg har fulgt dine anvisninger, men kan efterfølgende ikke køre "SFC purge og SFC scannow, da disse afstedkommer en programfejl med fejlnummer (0xc000007b).

Når jeg kører dial-a-fix kommer følgende fejlmelding, under "fix windows update" , (error 193 was encountered while calling loadlibrary (C:\windows\system32\wuaueng.dll) The error text is: A`M-,)
og
(error 0 was encountered while calling loadlibrary (C:\windows\system32\wuweb.dll) The error text is: handlingen er gennemført)

Hilsen BT

Kommentar
Fra : svnmp


Dato : 29-12-06 18:04

Jeg har vist glemt at oplyse, at mit systemgendannelsesprogram heller ikke har fungeret, siden problemerne startede.
I min verden virker det som om virusen eller hvad det nu har været, blokere for alt, der kan re-etablere systemet, gendannelse, update m.m.

Hilsen BT


Kommentar
Fra : stl_s


Dato : 29-12-06 18:31

Prøv om du kan genetablere systemgendannelsen (og evt også Windows Update) via gruppepolitiken:

http://www.theeldergeek.com/group_policy_editor.htm

http://www.pchell.com/virus/systemrestore.shtml


Kommentar
Fra : stl_s


Dato : 29-12-06 18:38

Iøvrigt, prøv lige at gå i Start/Kør og skriv Regsvr32 wuweb.dll klik OK, og se om Dial-A-Fix vil fixe nu.

Kommentar
Fra : stl_s


Dato : 29-12-06 18:57

Hvad sker der hvis du i Start/Kør skriver restore rstrui.exe

Kommentar
Fra : stl_s


Dato : 29-12-06 19:12

Hmm, det mest nærliggende er vel at skidtet har deaktiveret tjenesten systemgendannelse. Prøv at gå i Start/Kør og skriv services.msc. Tjek at tjenesten er startet og Starttype er automatisk.

Kommentar
Fra : svnmp


Dato : 29-12-06 20:36

Jeg vil starte med en dybere forklaring af systemgendannelseproblemet: jeg kan godt køre hele systemgendannelsesprogrammet igennem og først efter genstart fortæller den "at den ikke har kunnet gendanne systemet, da der ingen ændringer har været siden det valgte gendannelsestidspunkt" uagtet at flere ændringer er sket og uagtet hvilket gendannelsestidspunkt jeg har prøvet.

1.
Med hensyn til ændringer af gruppepolitiken, er jeg ikke helt frisk på, da det er et område jeg intet kender til.

2.
Ved start/kør "regsvr32 wuweb.dll" kommer et feldt op med gul trekant hvori der står "wuweb.dll er ikke en eksekverbar fil og der er ikke registreret en registreringshjælp til denne filtype"

3.
Ved start/kør "restore rstrui.exe". åbnes mappen "restore" hvori førnævnte filen ligger.

4.
Ved start/kør "services.msc" er de eneste tjenester der er "deaktiveret" - ALERTER- og - ROUTING OG REMOTE-, alle andre er manuelt eller automatisk.

Til windows update vil jeg nævne, at jeg kan godt gå på hjemmesiden hvor der kontrolleres, men kan ikke installere den "windows installer" (activex-objekt), der skal til for at komme videre.

Hilsen BT

Kommentar
Fra : svnmp


Dato : 29-12-06 21:12

Yderligere har jeg konstateret at automatiske opdateringer i "sikkerhedscentret" er slået fra og ikke kan slåes til i sikkerhedscentret, men henvises til "kontrolpanel" hvor ikonet for automatiske opdateringer ligger.
Dette ikon reagere ikke på klik af nogen art, hvilket gør at jeg ikke kan slå "automatiske opdateringer" til nogen steder.

Hilsen BT


Kommentar
Fra : svnmp


Dato : 29-12-06 21:23

Og for at det ikke skal være løgn, er min windows firewall slået til i sikkerhedcentret (den bruger jeg normalt ikke), men ikonet for windows firewall i kontrolpanelet kan jeg ligeledes ikke åbne med klik og en melding kommer op "windows kan ikke vise indstillingerne for windows firewall af en ukendt årsag".
Det virker underlig at flere elementer for sikkerhed er blokkeret uden mulighed for ændringer.

Hilsen BT


Kommentar
Fra : stl_s


Dato : 29-12-06 21:31

Ok, jamen så virker din systemgendannelse formentlig. Malwaren har så "bare" deaktiveret dine gamle gendannelses punkter. Hvis du opretter et nyt gendannelses punkt som en test, så burde du kunne komme tilbage til det.

Mht til Windows Update, så prøv dette:

Gå op i "Funktioner" -> "Internetindstillinger" -> "Sikkerhed" og under Internet klikker du Standardniveau.

Hent en frisk wuweb.dll her, da den du har måske er defekt http://www.dlldump.com/download-dll-files_new.php/dllfiles/W/wuweb.dll/5.4.3790.2182/download.html

Læg den i C:/Windows/System32 mappen, og sig ja til at overskrive den eksisterende.

Prøv så dette:

Gå i Start/Kør og afregister disse filer. Skriv disse liner ind, en efter en, og klik OK efter hver line:

Regsvr32 /u jscript.dll
Regsvr32 /u wuaueng.dll
Regsvr32 /u wuaueng1.dll
Regsvr32 /u wucltui.dll
Regsvr32 /u wups.dll
Regsvr32 /u wuweb.dll
Regsvr32 /u wuapi.dll


Så genstarter du maskinen.

Så registrerer du disse filer på samme måde:

Regsvr32 wuapi.dll
Regsvr32 wuaueng.dll
Regsvr32 wuaueng1.dll
Regsvr32 wucltui.dll
Regsvr32 wups.dll
Regsvr32 wuweb.dll
Regsvr32 jscript.dll
Regsvr32 atl.dll
(Det var bevidst at den ikke blev afregistreret ovenover, så det skal du ikke gøre)

Genstart maskinen igen.




Kommentar
Fra : stl_s


Dato : 29-12-06 21:52

Til dit spørgsmål om firewallen, så her jeg et fix til den, men den tager vi lige senere.

Men rigtigt nok, skidtet gør hvad det kan for at lukke for sikkerheden. Det er desværre almindeligt under den slags angreb.

Kommentar
Fra : svnmp


Dato : 29-12-06 22:21

Jeg har fulgt dine anvisninger og følgende er sket:

Alle filer er "lykkedes" både i afregistrering og efterfølgende registrering, med undtagelse af:
"wuaueng.dll" og "wuweb.dll", der begge kommer med meldingen "filnavn efterfulgt af - er ikke en eksekverbar fil og der er ikke registreret en registreringshjælp til denne filtype", både i afregistrering og efterfølgende registrering.

Hilsen BT


Kommentar
Fra : stl_s


Dato : 29-12-06 22:48

Den har jeg godt nok ikke været udsat for før, men prøv lige dette:

Prøv lige at gå i Start/Kør igen, og kopier denne linie ind:

assoc.dll=dllfile

Prøv så at genregistrere de to filer.

Vi skulle måske også lige tjekke, om der skulle gemme sig mere skidt.

Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

Kør så combofix.exe, og følg anvisningerne.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som kan findes her-C:\combofix.txt

Kommentar
Fra : stl_s


Dato : 29-12-06 23:00

Lige en rettelse, sorry. Du skal i Start/Kør og skrive CMD og klikke ok. Du skal så skrive/kopiere linien ind, og taste på <enter>

Kommentar
Fra : svnmp


Dato : 29-12-06 23:02

Jeg formoder du gerne vil se logfilen.

Kommer her

Bo Jensen - 06-12-29 22:50:16,26 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\Bo Jensen\Skrivebord"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-11-29 to 2006-12-29 ))))))))))))))))))))))))))))))))))


2006-12-29   22:29   <DIR>   d--------   C:\WINDOWS\LastGood
2006-12-29   21:26   <DIR>   d--------   C:\WINDOWS\system32\appmgmt
2006-12-29   17:48   <DIR>   d--------   C:\WINDOWS\system32\CatRoot2
2006-12-28   21:24   <DIR>   d--------   C:\WINDOWS\WBEM
2006-12-28   21:24   <DIR>   d--------   C:\WINDOWS\system32\da-dk
2006-12-28   21:22   <DIR>   d--h-c---   C:\WINDOWS\ie7
2006-12-28   21:20   121,856   --a------   C:\WINDOWS\system32\xmllite.dll
2006-12-28   21:08   <DIR>   d--------   C:\Programmer\backups
2006-12-28   20:41   <DIR>   d--------   C:\avenger
2006-12-28   20:36   <DIR>   d--------   C:\Rustbfix
2006-12-28   19:57   <DIR>   d--------   C:\SDFix
2006-12-27   23:03   <DIR>   d--------   C:\Programmer\SUPERAntiSpyware
2006-12-27   23:03   <DIR>   d--------   C:\Documents and Settings\Bo Jensen\Application Data\SUPERAntiSpyware.com
2006-12-27   23:01   <DIR>   d--------   C:\Kaspersky
2006-12-27   21:48   218,112   --a------   C:\Programmer\HJTrenamed.exe
2006-12-18   20:53   <DIR>   d--------   C:\WINDOWS\setupupd
2006-12-18   20:53   <DIR>   d--------   C:\WINDOWS\setup.pss
2006-12-18   15:37   <DIR>   d--------   C:\Documents and Settings\Bo Jensen\DoctorWeb
2006-12-15   23:36   <DIR>   d--------   C:\WINDOWS\Minidump
2006-12-14   01:15   0   --a------   C:\WINDOWS\system32\Ultra.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-29 22:26   --------   d--------   C:\Programmer\Mozilla Firefox
2006-12-29 22:24   --------   d--------   C:\Documents and Settings\Bo Jensen\Application Data\nView_Wallpaper
2006-12-28 21:25   --------   d--------   C:\Programmer\Internet Explorer
2006-12-28 20:53   6266   --a------   C:\Programmer\hijackthis.log
2006-12-27 23:03   --------   d--------   C:\Programmer\F‘lles filer\Wise Installation Wizard
2006-12-27 21:58   49   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb8467.dat
2006-12-18 15:01   334   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb1942.dat
2006-12-18 15:01   13046   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb5436.dat
2006-12-18 15:01   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb4604.dat
2006-12-17 00:28   --------   d--------   C:\Programmer\ubi.com
2006-12-14 12:38   --------   d--------   C:\Documents and Settings\Bo Jensen\Application Data\AVG7
2006-12-14 01:15   --------   d--------   C:\Programmer\Bug Doctor
2006-12-14 00:16   --------   d--------   C:\Programmer\Windows Media Connect 2
2006-12-12 09:17   --------   d--------   C:\Programmer\QuickTime
2006-12-12 00:46   656   --a------   C:\WINDOWS\system32\sfc_os.dll
2006-12-10 09:49   --------   d--------   C:\Documents and Settings\Bo Jensen\Application Data\HbTools
2006-11-30 15:49   --------   d--------   C:\Programmer\MorpheusBar
2006-11-27 20:35   --------   d--------   C:\Programmer\Morpheus
2006-11-27 19:52   97455   --a------   C:\WINDOWS\5-a0c18a429b8010fee34ee31d9073371d.exe
2006-11-27 19:52   9216   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb6334.dat
2006-11-27 19:52   66267   --a------   C:\WINDOWS\10-47488c40c3cddfee98fc3b173f6d7beb.exe
2006-11-27 19:52   622613   --a------   C:\WINDOWS\4-efb7bab6499fc415ee93f4097033deae.exe
2006-11-27 19:52   44888   --a------   C:\WINDOWS\system32\CAUnst.exe
2006-11-27 19:52   33085   --a------   C:\WINDOWS\system32\brrot-uninst.exe
2006-11-27 19:52   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb6500.dat
2006-11-27 19:51   356663   --a------   C:\WINDOWS\12-b101c483c2fe3ac4a2bd5fae3377ef4f.exe
2006-11-27 19:17   177152   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb4827.dat
2006-11-27 19:17   151   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb2218.dat
2006-11-26 22:51   --------   d--------   C:\Programmer\Starware316
2006-11-26 22:51   --------   d--------   C:\Programmer\HbTools_Icons
2006-11-26 22:51   --------   d--------   C:\Programmer\HbTools
2006-11-26 22:51   --------   d--------   C:\Programmer\F‘lles filer
2006-11-26 22:51   --------   d--------   C:\Documents and Settings\Bo Jensen\Application Data\Starware316
2006-11-26 20:58   612821   --ahs----   C:\WINDOWS\system32\xyadd.bak1
2006-11-18 19:03   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb2391.dat
2006-11-17 12:26   500142   --a------   C:\WINDOWS\Flysaa2.exe
2006-11-17 12:26   29696   --a------   C:\WINDOWS\mickey32.dll
2006-11-17 12:26   185664   --a------   C:\WINDOWS\Flysaa2.scr
2006-11-17 12:26   --------   d--------   C:\Programmer\Screensavers.com
2006-11-17 12:24   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb41.dat
2006-11-16 17:07   --------   d--------   C:\Programmer\MSXML 4.0
2006-11-15 20:46   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb3902.dat
2006-11-15 20:46   0   --a------   C:\Documents and Settings\Bo Jensen\Application Data\internaldb2275.dat
2006-11-13 15:37   --------   d--h-----   C:\Programmer\InstallShield Installation Information
2006-11-13 15:37   --------   d--------   C:\Programmer\Google
2006-11-13 15:37   --------   d--------   C:\Documents and Settings\Bo Jensen\Application Data\Google
2006-11-07 21:03   6049280   --a------   C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03   50688   --a------   C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03   458752   --a------   C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03   413696   --a------   C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03   231424   --a------   C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03   180736   --a------   C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03   156160   --a------   C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27   382976   --a------   C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27   229376   --a------   C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26   71680   --a------   C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26   55296   --a------   C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26   54784   --a------   C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26   43008   --a------   C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26   152064   --a------   C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26   13312   --a------   C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26   123904   --a------   C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25   161792   --a------   C:\WINDOWS\system32\ieakui.dll
2006-11-04 21:45   --------   d---s----   C:\Documents and Settings\Bo Jensen\Application Data\Microsoft
2006-11-04 21:45   --------   d--------   C:\Programmer\Microsoft Calculator Plus
2006-11-04 21:40   --------   d--------   C:\Programmer\Windows Media Player
2006-11-04 21:33   --------   d--------   C:\Programmer\Microsoft Time Zone
2006-11-04 18:58   --------   d--------   C:\Programmer\Java
2006-11-04 14:14   1245696   --a------   C:\WINDOWS\system32\msxml4.dll
2006-11-03 13:42   816672   --a------   C:\WINDOWS\system32\drivers\avg7core.sys
2006-11-03 13:42   4224   --a------   C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-11-03 13:42   3968   --a------   C:\WINDOWS\system32\drivers\avgclean.sys
2006-11-03 13:42   28416   --a------   C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-11-03 13:42   18240   --a------   C:\WINDOWS\system32\drivers\avgmfx86.sys
2006-11-01 16:48   --------   d--------   C:\Programmer\iPod
2006-11-01 16:46   --------   d--------   C:\Programmer\Apple Software Update
2006-10-17 12:06   78336   --a------   C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05   40960   --a------   C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05   206336   --a------   C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05   105984   --a------   C:\WINDOWS\system32\url.dll
2006-10-17 12:04   101376   --a------   C:\WINDOWS\system32\occache.dll
2006-10-17 12:03   17408   --a------   C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58   61952   --a------   C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58   12288   --a------   C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57   36352   --a------   C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57   266752   --a------   C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56   45568   --a------   C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28   48128   --a------   C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27   380928   --a------   C:\WINDOWS\system32\ieapfltr.dll
2006-10-13 13:39   65536   --a------   C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:39   64000   --a------   C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:39   142848   --a------   C:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programmer\\MSN Messenger\\msnmsgr.exe\" /background"
"updateMgr"="\"D:\\Installerede Programmer\\Acrobat reader\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"
"Timezone"="\"C:\\Programmer\\Microsoft Time Zone\\TimeZone.exe\""
"SUPERAntiSpyware"="C:\\Programmer\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"WheelMouse"="C:\\PROGRA~1\\A4Tech\\Mouse\\Amoumain.exe"
"SW20"="C:\\WINDOWS\\system32\\sw20.exe"
"SunJavaUpdateSched"="\"C:\\Programmer\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"SoundMan"="SOUNDMAN.EXE"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe -CheckReg"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"iKeyWorks"="C:\\PROGRA~1\\A4Tech\\Keyboard\\Ikeymain.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"Zone Labs Client"="\"C:\\Programmer\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"iTunesHelper"="\"D:\\Installerede Programmer\\I tunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Min aktuelle startside"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]   
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20061228-210815-957
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
backup-20061228-210815-355
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1147389105.job

Completion time: 06-12-29 22:51:07.48
C:\ComboFix.txt ... 06-12-29 22:51


Kommentar
Fra : svnmp


Dato : 29-12-06 23:17

Jeg har prøvet at skrive linien ind i dos prompten og derefter genregistreret de to filer, men med samme resultat.

Kommentar
Fra : svnmp


Dato : 29-12-06 23:31

Yderliger har jeg konstateret at fanebladet (automatiske opdateringer) i "system" i kontrolpanelet, der ifølge windows skal være der, ikke eksistere.

Kommentar
Fra : stl_s


Dato : 30-12-06 00:16

Ok, der er mere skidt, og jeg vender tilbage med en procedure. Først vil bede dig uploade denne fil: C:\WINDOWS\system32\Ultra.dll til scanning her http://www.virustotal.com/en/indexf.html

Klik gennemse, find filen filen, og klik send. Læg resultatet her ind.

Jeg er ved at spore mig ind på sfc problemet.

Kommentar
Fra : svnmp


Dato : 30-12-06 09:13

Resultatet fra virusscan af "ultra.dll"

OBS. filstørrelse 0 Byte


Complete scanning result of "Ultra.dll", received in VirusTotal at 12.30.2006, 09:08:19 (CET).

Antivirus   Version   Update   Result
AntiVir   7.3.0.21   12.29.2006   no virus found
Authentium   4.93.8   12.30.2006   no virus found
Avast   4.7.892.0   12.30.2006   no virus found
AVG   386   12.29.2006   no virus found
BitDefender   7.2   12.30.2006   no virus found
CAT-QuickHeal   8.00   12.29.2006   no virus found
ClamAV   devel-20060426   12.30.2006   no virus found
DrWeb   4.33   12.30.2006   no virus found
eSafe   7.0.14.0   12.30.2006   no virus found
eTrust-InoculateIT   23.73.102   12.30.2006   no virus found
eTrust-Vet   30.3.3289   12.29.2006   no virus found
Ewido   4.0   12.29.2006   no virus found
Fortinet   2.82.0.0   12.30.2006   no virus found
F-Prot   3.16f   12.29.2006   no virus found
F-Prot4   4.2.1.29   12.29.2006   no virus found
Ikarus   T3.1.0.27   12.30.2006   no virus found
Kaspersky   4.0.2.24   12.30.2006   no virus found
McAfee   4929   12.29.2006   no virus found
Microsoft   1.1904   12.27.2006   no virus found
NOD32v2   1947   12.30.2006   no virus found
Norman   5.80.02   12.29.2006   no virus found
Panda   9.0.0.4   12.30.2006   no virus found
Prevx1   V2   12.30.2006   no virus found
Sophos   4.13.0   12.28.2006   no virus found
Sunbelt   2.2.907.0   12.18.2006   no virus found
TheHacker   6.0.3.139   12.29.2006   no virus found
UNA   1.83   12.29.2006   no virus found
VBA32   3.11.1   12.29.2006   no virus found
VirusBuster   4.3.19:9   12.29.2006   no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


Hilsen BT

Kommentar
Fra : stl_s


Dato : 30-12-06 15:54

Den 0 bytesfejl kommer en gang imellem. Prøv lige at højreklikke på filen og vælg Egenskaber. Tjek hvem der har lavet den (muligvis Microsoft eller Nvidia).

Kommentar
Fra : svnmp


Dato : 31-12-06 12:00

Filtypen er "programudvidelse" og åbnes med "programmet er ukendt".

Dokumentinfo er tomt, altså imgen oplysninger.

Og så lige et godt nytår til dig.

Hilsen BT

Kommentar
Fra : stl_s


Dato : 31-12-06 13:46

Også godt nytår til dig.

ultra.dll lader vi være. Den ser ud til at være installeret samtidig med "Bug Doctor".

Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

1. Pak Avenger-programmet ud og dobbeltklik på avenger.exe

2. Sæt en prik i "Input Script Manually" og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

-----------------------------

Files to delete:
C:\WINDOWS\12-b101c483c2fe3ac4a2bd5fae3377ef4f.exe
C:\WINDOWS\5-a0c18a429b8010fee34ee31d9073371d.exe
C:\WINDOWS\10-47488c40c3cddfee98fc3b173f6d7beb.exe
C:\WINDOWS\4-efb7bab6499fc415ee93f4097033deae.exe
C:\WINDOWS\system32\CAUnst.exe
C:\WINDOWS\system32\xyadd.bak1
C:\WINDOWS\system32\brrot-uninst.exe
C:\Documents and Settings\Bo Jensen\Application Data\internaldb6334.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb8467.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb1942.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb4604.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb4827.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb2218.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb2391.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb41.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb3902.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb2275.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb5436.dat
C:\Documents and Settings\Bo Jensen\Application Data\internaldb6500.dat

Folders to delete:
C:\Programmer\Starware316
C:\Programmer\HbTools_Icons
C:\Programmer\HbTools
C:\Documents and Settings\Bo Jensen\Application Data\HbTools
C:\Documents and Settings\Bo Jensen\Application Data\Starware316
C:\Programmer\MorpheusBar
C:\Programmer\Morpheus

-----------------------------

3. Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

4. Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

----------------------------------------------------------

Ang SFC, så kan denne fil redigeres af skidtet C:\WINDOWS\system32\sfc_os.dll og deaktivere Windows File Protection, så vigtige filer kan inficeres. Prøv derfor at hente en frisk version her http://www.dlldump.com/download-dll-files_new.php/dllfiles/S/sfc_os.dll/5.1.2600.2180/download.html kopier den ned i C:\WINDOWS\system32 mappen og lad den erstatte den eksisterende fil. Tjek så om SFC virker efter en genstart.

----------------------------------------------------------

I denne pakke finder du scripts og en vejledning til at få firewallen op at køre igen http://www.sitecenter.dk/secure/nss-folder/mappe/reset.zip

Så må se hvor langt det bringer dig.

Kommentar
Fra : svnmp


Dato : 31-12-06 14:02

Hermed logfile fra avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fnxrjvox

*******************

Script file located at: \??\C:\Documents and Settings\vwiqriyf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\12-b101c483c2fe3ac4a2bd5fae3377ef4f.exe deleted successfully.
File C:\WINDOWS\5-a0c18a429b8010fee34ee31d9073371d.exe deleted successfully.
File C:\WINDOWS\10-47488c40c3cddfee98fc3b173f6d7beb.exe deleted successfully.
File C:\WINDOWS\4-efb7bab6499fc415ee93f4097033deae.exe deleted successfully.
File C:\WINDOWS\system32\CAUnst.exe deleted successfully.
File C:\WINDOWS\system32\xyadd.bak1 deleted successfully.
File C:\WINDOWS\system32\brrot-uninst.exe deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb6334.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb8467.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb1942.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb4604.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb4827.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb2218.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb2391.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb41.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb3902.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb2275.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb5436.dat deleted successfully.
File C:\Documents and Settings\Bo Jensen\Application Data\internaldb6500.dat deleted successfully.
Folder C:\Programmer\Starware316 deleted successfully.
Folder C:\Programmer\HbTools_Icons deleted successfully.
Folder C:\Programmer\HbTools deleted successfully.
Folder C:\Documents and Settings\Bo Jensen\Application Data\HbTools deleted successfully.
Folder C:\Documents and Settings\Bo Jensen\Application Data\Starware316 deleted successfully.
Folder C:\Programmer\MorpheusBar deleted successfully.
Folder C:\Programmer\Morpheus deleted successfully.

Completed script processing.

Hilsen BT

Kommentar
Fra : stl_s


Dato : 31-12-06 14:41

Der burde ikke være mere skadeligt skidt på maskinen nu, så nu bliver det spændende om det løser op for de andre problemer.

Kommentar
Fra : svnmp


Dato : 31-12-06 15:02

Jeg har nu fulg dine sidste råd, hvilket har re-etableret alt omkring windows update, både faneblad under system og computeren har allerede selv hentet og installeret de sidste opdateringer.

Derudover har min printerdriver installeret sig selv igen.

Sikkerhedscentret er OK og ikonerne for update og firewall i kontrolpanel kan igen aktiveres.

SFC scannow har kørt og verificeret at alle sikkerhedsfiler er intakte og originale, den er ikke kommet op med nogen fejl.

Mit gendannelsessystem har jeg ikke afprøvet, men jeg har en stærk formodning om at det også fungere, jeg vil ihvertefald lave et gendannelsestidspunkt, nu her hvor jeg ved at alt er renset.

Derudover vil jeg spørge dig om råd vedr. sikkerhedsprogrammer:
jeg bruger i øjeblikket AVG antivirus (free edition), ZONEALARM firewall (free edition) og Lavasoft AD-AWARE antispyware SE (free edition), disse programmer har jeg været glade for, og det "snavs" jeg har fået ind på computeren er formodentlig lidt min egen skyld, da jeg har downloaded usikre filer.
Har du et bedre bud på sikkerhedsprogrammer, der er optimale, så lad mig det vide.

Hilsen BT

Accepteret svar
Fra : stl_s

Modtaget 100 point
Dato : 31-12-06 15:31

Det lyder da godt, at der kommet normale tilstande på din maskine igen .

For at rense ud i diverse tempfiler, og rester i registreringsdatabasen, vil jeg foreslå dig at køre en rensning med CCleaner. Vejledning og download link her http://spywareinfo.dk/manualer/ccleaner.htm Husk et fjerne flueben ved Yahoo toolbar, hvis du ikke vil have den med.

AVG og Zonealarm er ok, men når du er ude i de mere risikable egne af internettet, kan du styrke sikkerheden væsentligt med Active Virus Shield http://www.activevirusshield.com/antivirus/freeav/index.adp?

Der har været lidt problemer med tilsending af koder, men det skulle være fixet nu.

Du kan også med fordel udskifte Zonealarm med Comodo firewall http://www.personalfirewall.comodo.com/ Den vil, især i starten, give nogle flere advarsler end Zonealarm, men den vil også give dig langt større kontrol over hvad der foregår på maskinen.

Jeg vil også foreslå at du beholder SuperAntiSpyware, da den vil være et godt supplement til Ad-Aware. Ja den er faktisk en hel del bedre.

Kommentar
Fra : svnmp


Dato : 31-12-06 16:07

Jeg har kørt ccleaner og alt ser vel ud, jeg vil stærkt overveje at skifte til de anbefalede sikkerhedsprogrammer.

Så vil jeg sige dig tusind tak for al´den tid og energi du har brugt på at hjælpe mig gennem disse problemer, og så siger man at der ikke længere findes folk, der vil hjælpe andre uden at få noget for det, det syntes jeg helt klart du har bevidst her, at det ikke passer.
Jeg syntes ikke folk normalt er særlig gode til at rose andre hjælpsomme mennesker, men det vil jeg gerne lave om på, så derfor får du denne velfortjente ros.
Jeg ved ikke hvad du har af baggrund for at kunne alt det du kan, med computere, men i min verden er det ikke så lidt endda og jeg har samtidig lært nogen helt nye ting om programmer, procedurer m.m., så alt i alt har det været en fornøjelse at få din hjælp.

Og du skal jo helt klart have dine velfortjente point. Hvis det går galt må du lige vejlede mig, da det ikke er så tit jeg er på her.

Endnu engang rigtig godt nytår

Mange hilsner BT

Godkendelse af svar
Fra : svnmp


Dato : 31-12-06 16:21

Tak for svaret stl_s.

Kommentar
Fra : svnmp


Dato : 01-01-07 12:25

Hej igen stl_s

Jeg var nok lige hurtig nok ude med at afslutte vores samarbejde, for efter jeg slukkede computeren og skulle starte den igen, genstarter den konstant med et glimt af en blå skærm og kan derefter kun startes i fejlsikker tilstand, måske har jeg lavet en fejl med "ccleaner" for den virkede jo perfekt for jeg kørte dette program.

Hilsen BT

Kommentar
Fra : stl_s


Dato : 01-01-07 14:22

Hej igen.

Der plejer nu ikke at opstå den slags problemer med CCleaner , men hvis du lavede backup af registreringsdatabasen, kan du prøve at gendanne den.

Ellers prøv at starte i "Sidst kendte fungerende tilstand (hvor systemet virkede)".

Kommentar
Fra : svnmp


Dato : 01-01-07 14:40

En lille tilståelse, i min overstadige tilstand over at alt virkede, mente jeg ikke at en backup var nødvendig, så det undlod jeg (rigtige mænd tager ikke backup, men de græder tit).
Maskinen genstarter selvom den starter i "Sidst kendte fungerende tilstand (hvor systemet virkede)".

Hilsen BT


Kommentar
Fra : stl_s


Dato : 01-01-07 15:00

Prøv lige at højreklikke på "Denne computer" -> Egenskaber -> Avanceret, og fjern flubenet ved "Genstart automatisk", og se om du kan se hvad fejlen er på den blå skærm.

Kommentar
Fra : svnmp


Dato : 01-01-07 15:30

jeg kommer lige først med en undskyld ulejligheden.

Jeg havde ikke medregnet "Sidst kendte fungerende tilstand (hvor systemet virkede)". som en mulighed, men troede at "start windows normalt", der er placeret lige nedenunder var muligheden, men har nu fået den op at køre igen.
Jeg laver nu som det første et gendannelsestidspunkt, så jeg kan få et sikkert udgangspunkt hvis noget skulle gå galt.
Og skulle noget ske, kommer jeg tilbage nok igen.

Hilsen BT


Kommentar
Fra : stl_s


Dato : 01-01-07 16:04

Godt det virker nu, og du er velkommen hvis der skulle blive probs igen.

Iøvrigt, mange tak for dine rosende ord .

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste