Hej patrong og velkommen:)

Lad os se om vi kan finde nogen årsager i en log fil.

Følg denne anvisning punkt 1-4 http://www.spywarefri.dk/hjtanv.htm resultatet skal du kopier ind i denne tråd. Det gør du ved at klikke på kommentér knappen, og så kopier det herind.

Logfile of HijackThis v1.99.0
Scan saved at 11:39:14, on 03-02-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/SYSTEM/KERNEL32.DLL
C:/WINDOWS/SYSTEM/MSGSRV32.EXE
C:/WINDOWS/SYSTEM/MPREXE.EXE
C:/WINDOWS/SYSTEM/MSTASK.EXE
C:/NORMAN/BIN/ZANDA.EXE
C:/PROGRAMMER/BITGUARD/FIREWALL/FIRESVC.EXE
C:/WINDOWS/SYSTEM/mmtask.tsk
C:/NORMAN/NVC/BIN/CCLAW.EXE
C:/NORMAN/NVC/BIN/NVCSCHED.EXE
C:/NORMAN/NVC/BIN/NIP.EXE
C:/NORMAN/BIN/NJEEVES.EXE
C:/WINDOWS/EXPLORER.EXE
C:/WINDOWS/TASKMON.EXE
C:/WINDOWS/SYSTEM/SYSTRAY.EXE
C:/WINDOWS/SYSTEM/WF2K.EXE
C:/WINDOWS/SYSTEM/DDHELP.EXE
C:/PROGRAMMER/AHEAD/INCD/INCD.EXE
C:/WINDOWS/LOADQM.EXE
C:/PROGRAMMER/LOGITECH/MOUSEWARE/SYSTEM/EM_EXEC.EXE
C:/WINDOWS/SYSTEM/STIMON.EXE
C:/PROGRAMMER/NETROPA/MULTIMEDIA KEYBOARD/MMKEYBD.EXE
C:/WINDOWS/SYSTEM/QTTASK.EXE
C:/NORMAN/BIN/ZLH.EXE
C:/PROGRAMMER/MESSENGER/MSMSGS.EXE
C:/WINDOWS/SYSTEM/E_L10IC1.EXE
C:/PROGRAMMER/NETROPA/MULTIMEDIA KEYBOARD/TRAYMON.EXE
C:/WINDOWS/SYSTEM/SPOOL32.EXE
C:/PROGRAMMER/PLEXTOR/PLEXTOOL.EXE
C:/PROGRAMMER/NETROPA/ONSCREEN DISPLAY/OSD.EXE
C:/WINZIP/WZQKPICK.EXE
C:/PROGRAMMER/CAPLIO SOFTWARE/RGATEL.EXE
C:/PROGRAMMER/BITGUARD/FIREWALL/FIREWALL.EXE
C:/WINDOWS/SYSTEM/WMIEXE.EXE
C:/WINDOWS/PROFILES/WINNI/SKRIVEBORD/HIJACKTHIS.EXE

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.msn.dk
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.msn.dk
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/PROGRAMMER/ADOBE/ACROBAT 5.0/READER/ACTIVEX/ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Programmer/Spybot - Search & Destroy/SDHelper.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/SYSTEM/MSDXM.OCX
O4 - HKLM/../Run: [Skan registreringsdatabase] C:/WINDOWS/scanregw.exe /autorun
O4 - HKLM/../Run: [Job-oversigt] C:/WINDOWS/taskmon.exe
O4 - HKLM/../Run: [SystemTray] SysTray.Exe
O4 - HKLM/../Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM/../Run: [WinFast_2K] C:/WINDOWS/SYSTEM/WF2K.EXE
O4 - HKLM/../Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM/../Run: [InCD] C:/Programmer/ahead/InCD/InCD.exe
O4 - HKLM/../Run: [CriticalUpdate] C:/WINDOWS/SYSTEM/wucrtupd.exe -startup
O4 - HKLM/../Run: [LoadQM] loadqm.exe
O4 - HKLM/../Run: [EM_EXEC] C:/PROGRA~1/LOGITECH/MOUSEW~1/SYSTEM/EM_EXEC.EXE
O4 - HKLM/../Run: [StillImageMonitor] C:/WINDOWS/SYSTEM/STIMON.EXE
O4 - HKLM/../Run: [MULTIMEDIA KEYBOARD] C:/Programmer/Netropa/Multimedia Keyboard/MMKeybd.exe
O4 - HKLM/../Run: [WildTangent CDA] RUNDLL32.exe C:/PROGRA~1/WILDTA~1/APPS/CDA/CDAENG~1.DLL,cdaEngineMain
O4 - HKLM/../Run: [QuickTime Task] “C:/WINDOWS/SYSTEM/QTTASK.EXE” -atboottime
O4 - HKLM/../Run: [Norman ZANDA] C:/NORMAN/BIN/ZLH.EXE /LOAD /SPLASH
O4 - HKLM/../RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM/../RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM/../RunServices: [Planlægningsagent] C:/WINDOWS/SYSTEM/mstask.exe
O4 - HKLM/../RunServices: [Norman ZANDA] C:/NORMAN/BIN/ZANDA.EXE /LOAD
O4 - HKLM/../RunServices: [FireSvc] C:/PROGRAMMER/BITGUARD/FIREWALL/FireSvc.Exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [EPSON AL-C900 Advanced] C:/WINDOWS/SYSTEM/E_L10IC1.EXE /A “C:/WINDOWS/SYSTEM/E_LE1B5.TMP”
O4 - Startup: PlexTools.lnk = C:/Programmer/Plextor/PlexTool.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:/WINDOWS/SYSTEM/E_SRCV03.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:/WinZip/WZQKPICK.EXE
O4 - Startup: RICOH Gate La.lnk = C:/Programmer/Caplio Software/RGateL.exe
O4 - Startup: BitGuard Personal Firewall.lnk = C:/Programmer/BitGuard/Firewall/Firewall.Exe
O4 - User Startup: PlexTools.lnk = C:/Programmer/Plextor/PlexTool.exe
O4 - User Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - User Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:/WINDOWS/SYSTEM/E_SRCV03.EXE
O4 - User Startup: WinZip Quick Pick.lnk = C:/WinZip/WZQKPICK.EXE
O4 - User Startup: RICOH Gate La.lnk = C:/Programmer/Caplio Software/RGateL.exe
O4 - User Startup: BitGuard Personal Firewall.lnk = C:/Programmer/BitGuard/Firewall/Firewall.Exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/MSMSGS.EXE
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab

Jeg tror at jeg kom til at sætte flueben i modtag ikke flere mails i denne tråd.
Det var en fejl, håber det kan rettes.

Her ovenover står der “Modtag mails ved nyt indlæg i emnet”. Det klikker du bare på.

Hvis du mener i toppen så står der modtag ikke flere mails i dene tråd, så har jeg måske ikke fået sat flueben alligevel.

Nej, så fungerer det som det skal. Du får mails når der er nyt i tråden. Når problemet er løst kan du så klikke på “Modtag ikke flere mails i denne tråd” så får du ikke flere.

Hej

Hent den her scanner:
http://www.spywareinfo.dk/download/mwav.exe

Kør en scanning med Hijackthis, så du kan se alle filer.

Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte et flueben ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked:
O4 - HKLM/../Run: [WildTangent CDA] RUNDLL32.exe C:/PROGRA~1/WILDTA~1/APPS/CDA/CDAENG~1.DLL,cdaEngineMain
O4 - Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - User Startup: Adobe Gamma Loader.exe.lnk = ?

Genstart til fejlsikret tilstand – F8

Åbn Stifinder, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved “Skjul beskyttede operativsystemfiler”.
Fjern flueben ved “Skjul filtypenavne for kendte filtyper”.
Sæt prik i “Vis skjulte filer og mapper”.
Slet det med Fedt:
C:/PROGRA~1/WILDTA~1/APPS/CDA

Nu kører du skanneren som vi hentede før
Sæt flueben i følgende:
Memory, Startup folders, drive, Registry, System folders og Services.
Sæt prik i følgende:
All local drives og Scan all files

Klik på scan.
Tip: du skal ikke klikke på Add to Startup folders så scannes din maskine hver gang du starter Windows op.
Denne scanning kan godt tage et par timer alt efter hvor meget du har liggende på din computer.

Genstart, og ny log.

Hej Magic
Du må undskyld hvis jeg er lidt utålmodig, men jeg har ikke prøvet det her før, er det noget der tager lang tid?

Patrong

Det er ok

Det kan godt tage noget tid, men gør det når det passer dig, vi løber ingen steder;)

Hej magic
Hvordan genstarter jeg i fejlsikret tilstand.
Jeg trykker F8 men den ligner sig selv når den starter,
jeg syntes at man plejer at skulle trykke på åben i fejlsikret tilstand.
Hvad gør jeg forkert?

patrong

Lige så snart den genstarter, trykker du på F8-flere gange

Hej igen.

Jeg trykker på F8 mange gange men kan ikke se at det ændre noget .
Den popper op med en boks der hedder Select first boot device, skal jeg vælge noget i den?
Hvordan kan jeg se at den er åben i fejlsikker tilstand

patrong

Hej Magic
Så lykkedes det at genstarte i fejlsikret tilstand.
Jeg har slettet det jeg skulle.
Når jeg skal skanne med mwav.exe
skal det så også være i fejlsikret tilstand, jeg kan nemlig ikke finde scanneren i fejlsikret tilstand.
Jeg har gemt den på skrivebordet da jeg downloaded den.

mvh
patrong

Hej patrong

Ja, det er bedst at du scanner med mwav fra fejslikret tilstand. Du burde nu da kunne se den på dit skrivebord også fra fejlsikret tilstand. Prøv at højreklikke på start, og klik så med venstre mus på stifinder. Ovre i venstre side aller øverst står der skrivebord. Klik på skrivebord. Nu kan du i venstre side se hvad du har liggende på dit skrivebord. Klik på mwav.exe filen, og filen pakkes nu ud, og du kan fortsætte vejledningen. Sig endelig til, hvis der er noget du er i tvivl om, så skal vi prøve at hjælpe dig.

Hej Magic
Jeg fandt ud af det til sidst.
Her kommer en ny logfil.
Logfile of HijackThis v1.99.0
Scan saved at 16:51:32, on 03-02-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:/WINDOWS/SYSTEM/KERNEL32.DLL
C:/WINDOWS/SYSTEM/MSGSRV32.EXE
C:/WINDOWS/SYSTEM/MPREXE.EXE
C:/WINDOWS/SYSTEM/MSTASK.EXE
C:/NORMAN/BIN/ZANDA.EXE
C:/PROGRAMMER/BITGUARD/FIREWALL/FIRESVC.EXE
C:/WINDOWS/SYSTEM/mmtask.tsk
C:/NORMAN/NVC/BIN/CCLAW.EXE
C:/NORMAN/NVC/BIN/NVCSCHED.EXE
C:/NORMAN/NVC/BIN/NIP.EXE
C:/NORMAN/BIN/NJEEVES.EXE
C:/WINDOWS/EXPLORER.EXE
C:/WINDOWS/TASKMON.EXE
C:/WINDOWS/SYSTEM/SYSTRAY.EXE
C:/WINDOWS/SYSTEM/WF2K.EXE
C:/WINDOWS/SYSTEM/DDHELP.EXE
C:/PROGRAMMER/AHEAD/INCD/INCD.EXE
C:/WINDOWS/LOADQM.EXE
C:/PROGRAMMER/LOGITECH/MOUSEWARE/SYSTEM/EM_EXEC.EXE
C:/WINDOWS/SYSTEM/STIMON.EXE
C:/PROGRAMMER/NETROPA/MULTIMEDIA KEYBOARD/MMKEYBD.EXE
C:/WINDOWS/SYSTEM/QTTASK.EXE
C:/NORMAN/BIN/ZLH.EXE
C:/PROGRAMMER/MESSENGER/MSMSGS.EXE
C:/WINDOWS/SYSTEM/E_L10IC1.EXE
C:/WINDOWS/SYSTEM/SPOOL32.EXE
C:/PROGRAMMER/PLEXTOR/PLEXTOOL.EXE
C:/PROGRAMMER/NETROPA/MULTIMEDIA KEYBOARD/TRAYMON.EXE
C:/PROGRAMMER/NETROPA/ONSCREEN DISPLAY/OSD.EXE
C:/WINZIP/WZQKPICK.EXE
C:/PROGRAMMER/CAPLIO SOFTWARE/RGATEL.EXE
C:/PROGRAMMER/BITGUARD/FIREWALL/FIREWALL.EXE
C:/WINDOWS/SYSTEM/WMIEXE.EXE
C:/WINDOWS/PROFILES/WINNI/SKRIVEBORD/HIJACKTHIS.EXE

R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://g.msn.dk/0SEDADK/SAOS01
R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.msn.dk
R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.msn.dk
R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:/PROGRAMMER/ADOBE/ACROBAT 5.0/READER/ACTIVEX/ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Programmer/Spybot - Search & Destroy/SDHelper.dll
O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINDOWS/SYSTEM/MSDXM.OCX
O4 - HKLM/../Run: [Skan registreringsdatabase] C:/WINDOWS/scanregw.exe /autorun
O4 - HKLM/../Run: [Job-oversigt] C:/WINDOWS/taskmon.exe
O4 - HKLM/../Run: [SystemTray] SysTray.Exe
O4 - HKLM/../Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM/../Run: [WinFast_2K] C:/WINDOWS/SYSTEM/WF2K.EXE
O4 - HKLM/../Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM/../Run: [InCD] C:/Programmer/ahead/InCD/InCD.exe
O4 - HKLM/../Run: [CriticalUpdate] C:/WINDOWS/SYSTEM/wucrtupd.exe -startup
O4 - HKLM/../Run: [LoadQM] loadqm.exe
O4 - HKLM/../Run: [EM_EXEC] C:/PROGRA~1/LOGITECH/MOUSEW~1/SYSTEM/EM_EXEC.EXE
O4 - HKLM/../Run: [StillImageMonitor] C:/WINDOWS/SYSTEM/STIMON.EXE
O4 - HKLM/../Run: [MULTIMEDIA KEYBOARD] C:/Programmer/Netropa/Multimedia Keyboard/MMKeybd.exe
O4 - HKLM/../Run: [QuickTime Task] “C:/WINDOWS/SYSTEM/QTTASK.EXE” -atboottime
O4 - HKLM/../Run: [Norman ZANDA] C:/NORMAN/BIN/ZLH.EXE /LOAD /SPLASH
O4 - HKLM/../RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM/../RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM/../RunServices: [Planlægningsagent] C:/WINDOWS/SYSTEM/mstask.exe
O4 - HKLM/../RunServices: [Norman ZANDA] C:/NORMAN/BIN/ZANDA.EXE /LOAD
O4 - HKLM/../RunServices: [FireSvc] C:/PROGRAMMER/BITGUARD/FIREWALL/FireSvc.Exe
O4 - HKCU/../Run: [MSMSGS] “C:/Programmer/Messenger/msmsgs.exe” /background
O4 - HKCU/../Run: [EPSON AL-C900 Advanced] C:/WINDOWS/SYSTEM/E_L10IC1.EXE /A “C:/WINDOWS/SYSTEM/E_LE1B5.TMP”
O4 - Startup: PlexTools.lnk = C:/Programmer/Plextor/PlexTool.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:/WINDOWS/SYSTEM/E_SRCV03.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:/WinZip/WZQKPICK.EXE
O4 - Startup: RICOH Gate La.lnk = C:/Programmer/Caplio Software/RGateL.exe
O4 - Startup: BitGuard Personal Firewall.lnk = C:/Programmer/BitGuard/Firewall/Firewall.Exe
O4 - User Startup: PlexTools.lnk = C:/Programmer/Plextor/PlexTool.exe
O4 - User Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:/WINDOWS/SYSTEM/E_SRCV03.EXE
O4 - User Startup: WinZip Quick Pick.lnk = C:/WinZip/WZQKPICK.EXE
O4 - User Startup: RICOH Gate La.lnk = C:/Programmer/Caplio Software/RGateL.exe
O4 - User Startup: BitGuard Personal Firewall.lnk = C:/Programmer/BitGuard/Firewall/Firewall.Exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:/Programmer/Messenger/MSMSGS.EXE
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey®) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab33902.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/platypus/miniclipGameLoader.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/zuma/default/popcaploader_v6.cab