—Hent Avenger her:
http://swandog46.geekstogo.com/avenger.zip

—Pak Avenger-programmet ud og dobbeltklik på avenger.exe

—Sæt en prik i “Input Script Manually” og klik på Luppen - nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

——————————————-
Files to delete:
C:\WINDOWS\system32\dxclib303562752.dll
C:\DXC1205b.exe
C:\WINDOWS\system32\qhw97bfe.sys

Folders to Delete:
C:\Programmer\DeluxeCommunications

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA}

registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticecaption
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticetext
——————————————-

—Klik på Trafiklyset i Avenger. Programmet vil opfordre dig til at genstarte computeren straks, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

—Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den må du gerne lægge ind i dit næste svar.

—Kør Hijackthis, vælg “Do a system scan only”, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programmer\DeluxeCommunications\DxcBho.dll
O20 - AppInit_DLLs: dxclib303562752.dll

Genstart computeren, og lav en ny log med Hijackthis, som du lægger herind sammen med loggen fra Avenger.

Derefter vil jeg gerne have dig til at køre en tur med følgende rootkit-scanninger:

(1) Gå ned på bunden af denne side, og download Rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

Pak filen ud til en mappe på skrivebordet. Tag netstikket ud af computeren, og luk alle åbne vinduer. Åbn rootkitrevealer-mappen, og dobbeltklik på rootkitrevealer.exe
Klik på Options, og sørg for, at der er flueben ud for “Hide standard NTFS Metadata files”. Klik så på Scan, nederst til højre. Imens programmet scanner må du ikke bruge computeren til andre ting. Når scanningen er færdig, klik på File igen, vælg Save og gem logfilen. Kopier RootkitReveal.txt herind.

(2) Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik “iaccept”. På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

(3)Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

ogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hsuwqatd

*******************

Script file located at: \??\C:\WINDOWS\system32\vcwuhmma.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Programmer\DeluxeCommunications not found!
Deletion of folder C:\Programmer\DeluxeCommunications failed!

Could not process line:
C:\Programmer\DeluxeCommunications
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{AEB6717E-7E19-11d0-97EE-00C04FD91972}
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{AEB6717E-7E19-11d0-97EE-00C04FD91972} failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks|{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticecaption
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticecaption failed!
Status: 0xc0000034

Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticetext
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system|legalnoticetext failed!
Status: 0xc0000034

Completed script processing.

*******************

Finished!  Terminate.

Logfile of HijackThis v1.99.1
Scan saved at 20:37:03, on 26-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
C:\Programmer\r\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programmer\Launch Manager\QtZgAcer.EXE
C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\CA\eTrust Internet Security Suite\caissdt.exe
C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Programmer\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Spyware Doctor\swdoctor.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Ditte Madsen\Skrivebord\Alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.stofa.dk/minesider/userlogin.php?shortcut=minesider
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = safeproxy.cybercity.dk:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmer\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmer\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmer\r\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ATIPTA] C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programmer\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] “C:\Programmer\QuickTime\qttask.exe” -atboottime
O4 - HKLM\..\Run: [iTunesHelper] “C:\Programmer\iTunes\iTunesHelper.exe”
O4 - HKLM\..\Run: [CaISSDT] “C:\Programmer\CA\eTrust Internet Security Suite\caissdt.exe”
O4 - HKLM\..\Run: [CaAvTray] “C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe”
O4 - HKLM\..\Run: [CAVRID] “C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe”
O4 - HKLM\..\Run: [!ewido] “C:\Programmer\ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programmer\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] “C:\Programmer\Messenger\msmsgs.exe” /background
O4 - HKCU\..\Run: [Spyware Doctor] “C:\Programmer\Spyware Doctor\swdoctor.exe” /Q
O4 - HKCU\..\Run: [MsnMsgr] “C:\Programmer\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programmer\DeluxeCommunications\Dxc.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe

Det var første del..

HKLM\S-1-5-21-1439632340-1600326224-1983576-1005\Software\Microsoft\Keyboard\Native Media Players\QuickTime Player\ExePath 06-12-2005 15:01 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 26-09-2006 20:32 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf41 29-06-2006 15:26 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf42 29-06-2006 15:26 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf43 29-06-2006 15:26 0 bytes Hidden from Windows API.

Blacklight

09/26/06 21:14:05 [Info]: BlackLight Engine 1.0.46 initialized
09/26/06 21:14:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/26/06 21:14:05 [Note]: 7019 4
09/26/06 21:14:05 [Note]: 7005 0
09/26/06 21:14:10 [Note]: 7006 0
09/26/06 21:14:10 [Note]: 7011 408
09/26/06 21:14:10 [Note]: 7026 0
09/26/06 21:14:10 [Note]: 7026 0
09/26/06 21:14:12 [Note]: FSRAW library version 1.7.1019
09/26/06 21:14:27 [Note]: 2000 1006
09/26/06 21:31:50 [Note]: 7007 0

Så mangler du bare Gmer-loggen

Ja, den har jeg ventet lidt på, da den vil ikke scanne andet end et par sekunder og derefter fryser den computeren. Har prøvet at downloade programmet igen, for at se om der var noget forskel, men det sker igen og igen. Den står fast på dsf/ og blinker.. Hvad gør jeg nu?

Hmmm. Så tror jeg vi springer Gmer-loggen over. Gmer kan godt have lidt problemer på nogle maskiner. De andre logs tyder på en ren maskine. Kører den også bedre nu?

For at gøre arbejdet helt færdig:
Det kan være en god ide og rydde op i systemgendannelses filerne. Deaktiver systemgendannelse (http://www.spywarefri.dk/virusscannere.htm#alle) - genstart din computer - aktiver systemgendannelse.
Og så kan det også være en god ide at skjule dine systemfiler og -mapper igen, så du ikke ved en fejl kommer til at slette en vigtig fil. Det gør du samme sted, hvor du satte det til at vise alle filer, denne gang vælger du bare: Vis ikke skjulte filer og mapper.

Det kan også være en god ide at få renset ud i dine midlertidige filer. Det kan gøres på en hurtig og nem måde med denne fil
http://www.spywareinfo.dk/download/cleantempxp2k.bat
—————————————-

For at forhindre gentagelser, vil jeg anbefale dig at lægge nogle små programmer ind, som forhindrer spyware i at komme ind i første omgang. Du finder links og gode råd her:
http://www.spywarefri.dk/manualer/sikkerhedspakke.htm

Jeg vil også foreslå, at du læser disse artikler om hvordan du kan undgå at blive inficeret i fremtiden:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=14414
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=25&PN=1

Jo, synes den kører bedre.. Jeg har lidt problemer med at finde et godt antivirus-program, hvad skal jeg vælge? Jeg har noget liggende der hedder SPYWARE-Doctor, men jeg ved jo ikke om det virker helt reelt, da den ikke bliver opdateret. Er det værd at gå hen og investere i et. Spyware-doktor er meget nemt at bruge, og den popper ikke op hele tiden med alt muligt, da den har scannet computeren, når jeg logger på. Dog siger den heller ikke noget om der er virus i det jeg åbner, hvilket kunne være at foretrække..

Hej DMadsen

Det lyder godt det kører for dig igen.

SpywareDoctor er spywarebekæmpende prg. og ikke antivirus prog. Det er et udmærket program til at bekæmpe spyware med.

Har du kigget i pakken og set hvad vi foreslår af både gratis og købe antivirus programmer, hvis ikke bør du gør det.

Her finder vores lille Sikkerhedspakke

Tusind tak for alt jeres hjælp… Jeg tror jeg på et tidspunkt er nød til at få den renset ved at slette alt og ligge alle programmer ind igen, men den er i hvert fald hurtigere nu.. DM

Hej DMadsen

Velbekomme dig.

Nu har du i det mindste fred til at få taget en god backup af alle dine ting, som du vil have med dig på en nyformateret maskine.

Der er nu ikke noget så godt, som en nyformateret maskine, det hele kører meget hurtigere. Så hvis du vælger at gøre det på et tidspunkt, så har du heldigvis din backup, så du ikke kommer til at mangle noget.

Jeg lukker tråden her igen, du er altid velkommen tilbage en anden gang.