Spywarefri Forum

Hjælp

[ Ignorer ] benz230
16.05.2004 12:41:28 Antal indlæg: 9	Jeg er ramt en trojansk hest,der bliver ved med at ændre min startside, selv om jeg prøver at holde rent i PC’eren. Log fra HijackThis: Logfile of HijackThis v1.97.7 Scan saved at 10:38:28, on 16-05-2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:/WINNT/MS/SMS/CORE/BIN/CLISVCL.EXE C:/WINNT/MS/SMS/clicomp/apa/Bin/smsapm32.exe C:/WINNT/system32/control.exe C:/WINNT/Explorer.EXE C:/WINNT/System32/hkcmd.exe C:/Programmer/NavNT/vptray.exe C:/WINNT/MS/SMS/CORE/BIN/LAUNCH32.EXE C:/WINNT/vpnloginapplet.exe C:/PROGRA~1/BILLPS~1/WINPAT~1/WinPatrol.exe C:/Programmer/COMPAQ/Easy Access Button Support/STARTEAK.exe C:/PROGRA~1/Grisoft/AVG6/avgcc32.exe C:/WINNT/System32/ctfmon.exe C:/WINNT/MS/SMS/CLICOMP/SWDist32/bin/smsmon32.exe C:/Programmer/Compaq/Easy Access Button Support/CPQEAKSYSTEMTRAY.EXE C:/Programmer/Compaq/Easy Access Button Support/CPQEADM.EXE C:/Compaq/EAKDRV/EAUSBKBD.EXE C:/PROGRA~1/Compaq/EASYAC~1/BttnServ.exe C:/WINNT/system32/proquota.exe C:/Programmer/Internet Explorer/IEXPLORE.EXE C:/WINNT/system32/control.exe C:/Programmer/Outlook Express/msimn.exe C:/Temp/Download/HijackThis.exe R1 - HKCU/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://inline/applikationer/findemaskine R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Page = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://www.google.dk/ R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=enc R1 - HKLM/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Bar = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Search Page = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Search_URL = http://homepage.com@www.e-finder.cc/search/ (obfuscated) R0 - HKLM/Software/Microsoft/Internet Explorer/Search,CustomizeSearch = http://homepage.com@www.e-finder.cc/search/ (obfuscated) R0 - HKLM/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Window Title = Microsoft Internet Explorer leveret af DR R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = http://1-se.com/home.html (obfuscated) R1 - HKCU/Software/Microsoft/Internet Explorer/Main,HomeOldSP = about:blank R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks R1 - HKLM/Software/Microsoft/Internet Explorer,Search = http://in.webcounter.cc/—/?bzbjr (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer/Search,(Default) = http://homepage.com@www.e-finder.cc/search/ (obfuscated) O1 - Hosts: 1089288654 #uto.search.msn.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/PROGRA~1/SPYBOT~1/SDHelper.dll O2 - BHO: (no name) - {9009A3EE-97E0-4755-A82A-AFF935C163A6} - C:/WINNT/System32/opfjfp.dll (file missing) O2 - BHO: (no name) - {9F5B4E53-8984-4C9B-81B5-2F89321F5ABD} - C:/WINNT/System32/hfgacbc.dll (file missing) O2 - BHO: (no name) - {B106C7D5-BB8D-4DB4-A27C-03ABB73C5413} - C:/WINNT/System32/mhdnf.dll (file missing) O2 - BHO: (no name) - {C72E3182-DCCD-44FB-B153-E6D510136994} - C:/WINNT/System32/cbddjla.dll (file missing) O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:/WINNT/system32/StopzillaBH0.dll O2 - BHO: (no name) - {D540364A-28B5-48A7-8F87-0943078C24AD} - (no file) O2 - BHO: (no name) - {FC84F334-5168-4D22-91D4-D62897E92E8F} - C:/WINNT/System32/kgpcf.dll (file missing) O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINNT/System32/msdxm.ocx O4 - HKLM/../Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM/../Run: [HotKeysCmds] C:/WINNT/System32/hkcmd.exe O4 - HKLM/../Run: [QuickTime Task] “C:/Programmer/QuickTime/qttask.exe” -atboottime O4 - HKLM/../Run: [vptray] C:/Programmer/NavNT/vptray.exe O4 - HKLM/../Run: [SMS Application Launcher] C:/WINNT/MS/SMS/CORE/BIN/LAUNCH32.EXE O4 - HKLM/../Run: [VpnLoginApplet] C:/WINNT/vpnloginapplet O4 - HKLM/../Run: [NeroCheck] C:/WINNT/system32/NeroCheck.exe O4 - HKLM/../Run: [WinPatrol] C:/PROGRA~1/BILLPS~1/WINPAT~1/WinPatrol.exe O4 - HKLM/../Run: [ElbyCheckElbyCDFL] “C:/Programmer/Elaborate Bytes/CloneCD/ElbyCheck.exe” /L ElbyCDFL O4 - HKLM/../Run: [CPQEASYACC] C:/Programmer/COMPAQ/Easy Access Button Support/STARTEAK.exe O4 - HKLM/../Run: [AVG_CC] C:/PROGRA~1/Grisoft/AVG6/avgcc32.exe /STARTUP O4 - HKCU/../Run: [ctfmon.exe] ctfmon.exe O4 - Startup: emptemp2.lnk = C:/Programmer/Empty Temp Folders 2.8.3/emptemp2.exe O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1 O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000 O8 - Extra context menu item: Translate Page - res://c:/winnt/GoogleToolbar_en_2.0.95-big.dll/cmtrans.html O8 - Extra context menu item: Web Search - C:/WINNT/ex.htm O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra ‘Tools’ menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra ‘Tools’ menuitem: JavaScript Console (HKCU) O13 - DefaultPrefix: http://ehttp.cc/? O13 - WWW Prefix: http://ehttp.cc/? O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/da/big/1.1.62-big/GoogleNav.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = net.dr.dk O17 - HKLM/System/CS1/Services/Tcpip/Parameters: Domain = net.dr.dk O17 - HKLM/System/CS2/Services/Tcpip/Parameters: Domain = net.dr.dk O19 - User stylesheet: C:/WINNT/hh.htt (HKLM)
[ Ignorer ] [ # 1 ] Resist TeamSpywarefri
16.05.2004 12:48:21 Redaktør Team Spywarefri Antal indlæg: 11785	Velkommen! Hent CWShredder her: http://www.computercops.biz/zx/phoenix22/cws.zip Pak zip-filen ud i en mappe. Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Next, den scanner nu, når den er færdig klik på Fix, klik på Exit. Prøv så en tur med Regedit. Klik på Start->Kør skriv regedit og klik OK. Du får et vindue frem - lidt ligesom stifinder. Klik dig frem til: HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Tjek om der ligger en nøgle/tekst der hedder “HOMEOldSP”, gør der det, så slet den. Klik så på “Denne computer” i Regedit-vinduet, derefter på “Redigér->Søg” skriv “Homeoldsp” klik på “find næste” slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet. Samme fremgangsmåde med søgeordet About:blank. Derefter genstart, og en ny hijackthislog. Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet. Signatur Med venlig hilsen Resist TeamSpywarefri Member of: Alliance of Security Analysis Professionals
[ Ignorer ] [ # 2 ] benz230
20.05.2004 18:46:44 Antal indlæg: 9	Tak for de gode råd. Jeg fulgte dem, og det hjalp. Desværre dog kun indtil jeg blev ramt af endnu en sniger, som ændrer min startside. Den hedder tilsyneladende “jksearch”. Jeg har prøvet at søge+fjerne den i Regedit, men den vender troligt tilbage. Jeg tillader mig igen at med sende en log fra hijacctkhislog Logfile of HijackThis v1.97.7 Scan saved at 16:35:09, on 20-05-2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:/WINNT/MS/SMS/CORE/BIN/CLISVCL.EXE C:/WINNT/MS/SMS/clicomp/apa/Bin/smsapm32.exe C:/WINNT/system32/control.exe C:/WINNT/Explorer.EXE C:/WINNT/System32/hkcmd.exe C:/Programmer/NavNT/vptray.exe C:/WINNT/MS/SMS/CORE/BIN/LAUNCH32.EXE C:/WINNT/vpnloginapplet.exe C:/PROGRA~1/BILLPS~1/WINPAT~1/WinPatrol.exe C:/Programmer/COMPAQ/Easy Access Button Support/STARTEAK.exe C:/PROGRA~1/Grisoft/AVG6/avgcc32.exe C:/WINNT/System32/ctfmon.exe C:/WINNT/MS/SMS/CLICOMP/SWDist32/bin/smsmon32.exe C:/docume~1/ahje/applic~1/tskman.exe C:/Programmer/Compaq/Easy Access Button Support/CPQEAKSYSTEMTRAY.EXE C:/Programmer/Compaq/Easy Access Button Support/CPQEADM.EXE C:/Compaq/EAKDRV/EAUSBKBD.EXE C:/PROGRA~1/Compaq/EASYAC~1/BttnServ.exe C:/WINNT/system32/proquota.exe C:/WINNT/system.exe C:/WINNT/system.exe C:/Temp/Download/HijackThis.exe R1 - HKCU/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Search Bar = http://inline/applikationer/findemaskine R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Window Title = Microsoft Internet Explorer leveret af DR R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = about:blank R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php R0 - HKCU/Software/Microsoft/Internet Explorer/Toolbar,LinksFolderName = Hyperlinks O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:/Programmer/Spybot - Search & Destroy/SDHelper.dll O2 - BHO: (no name) - {9009A3EE-97E0-4755-A82A-AFF935C163A6} - C:/WINNT/System32/opfjfp.dll (file missing) O2 - BHO: (no name) - {9F5B4E53-8984-4C9B-81B5-2F89321F5ABD} - C:/WINNT/System32/hfgacbc.dll (file missing) O2 - BHO: (no name) - {B106C7D5-BB8D-4DB4-A27C-03ABB73C5413} - C:/WINNT/System32/mhdnf.dll (file missing) O2 - BHO: (no name) - {C72E3182-DCCD-44FB-B153-E6D510136994} - C:/WINNT/System32/cbddjla.dll (file missing) O2 - BHO: (no name) - {D540364A-28B5-48A7-8F87-0943078C24AD} - (no file) O2 - BHO: (no name) - {FC84F334-5168-4D22-91D4-D62897E92E8F} - C:/WINNT/System32/kgpcf.dll (file missing) O3 - Toolbar: &Radio; - {8E718888-423F-11D2-876E-00A0C9082467} - C:/WINNT/System32/msdxm.ocx O4 - HKLM/../Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM/../Run: [HotKeysCmds] C:/WINNT/System32/hkcmd.exe O4 - HKLM/../Run: [QuickTime Task] “C:/Programmer/QuickTime/qttask.exe” -atboottime O4 - HKLM/../Run: [vptray] C:/Programmer/NavNT/vptray.exe O4 - HKLM/../Run: [SMS Application Launcher] C:/WINNT/MS/SMS/CORE/BIN/LAUNCH32.EXE O4 - HKLM/../Run: [VpnLoginApplet] C:/WINNT/vpnloginapplet O4 - HKLM/../Run: [NeroCheck] C:/WINNT/system32/NeroCheck.exe O4 - HKLM/../Run: [WinPatrol] C:/PROGRA~1/BILLPS~1/WINPAT~1/WinPatrol.exe O4 - HKLM/../Run: [ElbyCheckElbyCDFL] “C:/Programmer/Elaborate Bytes/CloneCD/ElbyCheck.exe” /L ElbyCDFL O4 - HKLM/../Run: [CPQEASYACC] C:/Programmer/COMPAQ/Easy Access Button Support/STARTEAK.exe O4 - HKCU/../Run: [ctfmon.exe] ctfmon.exe O4 - HKCU/../Run: [System Update4] c:/docume~1/ahje/applic~1/tskman.exe O4 - Startup: emptemp2.lnk = C:/Programmer/Empty Temp Folders 2.8.3/emptemp2.exe O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1 O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:/PROGRA~1/MICROS~2/Office10/EXCEL.EXE/3000 O8 - Extra context menu item: Translate Page - res://c:/winnt/GoogleToolbar_en_2.0.95-big.dll/cmtrans.html O8 - Extra context menu item: Web Search - C:/WINNT/ex.htm O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra ‘Tools’ menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra ‘Tools’ menuitem: JavaScript Console (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/7d90ae05585062/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/virusinfo/webscan.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM/System/CCS/Services/Tcpip/Parameters: Domain = net.dr.dk O17 - HKLM/System/CS1/Services/Tcpip/Parameters: Domain = net.dr.dk O17 - HKLM/System/CS2/Services/Tcpip/Parameters: Domain = net.dr.dk quote:Kommentar til oprindeligt indlæg af:Resist TeamSpywarefri Velkommen! Hent CWShredder her: http://www.computercops.biz/zx/phoenix22/cws.zip Pak zip-filen ud i en mappe. Kør programmet, tjek for updates, afbryd din internetforbindelse fysisk(stikket ud), deaktiver ALLE sikkerhedsprogrammer, luk alle vinduer undtaget cwshredder, klik på Next, den scanner nu, når den er færdig klik på Fix, klik på Exit. Prøv så en tur med Regedit. Klik på Start->Kør skriv regedit og klik OK. Du får et vindue frem - lidt ligesom stifinder. Klik dig frem til: HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Tjek om der ligger en nøgle/tekst der hedder “HOMEOldSP”, gør der det, så slet den. Klik så på “Denne computer” i Regedit-vinduet, derefter på “Redigér->Søg” skriv “Homeoldsp” klik på “find næste” slet det den finder og tryk på <F3> slet, <F3> til du får at vide at søgningen er afsluttet. Samme fremgangsmåde med søgeordet About:blank. Derefter genstart, og en ny hijackthislog. Husk at genaktivere dine sikkerhedsprogrammer inden du går på nettet.
[ Ignorer ] [ # 3 ] A.Behrendt TeamSpywarefri
20.05.2004 20:33:44 Redaktør Supporter Emeritus Antal indlæg: 25535	Hej benz230 Det er noget næsten helt nyt du lider af, og vi famler lidt rundt i blinde. Men hvis du har mod på det, så prøver vi noget nyt, som skulle virke. Det skal da komme an på en prøve. Åbn notepad/notesblok og kopier det med fed ind REGEDIT4 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad] “System”=- [-HKEY_CLASSES_ROOT/CLSID/{061646A1-DC57-487D-B023-A938198C174E}] [-HKEY_CLASSES_ROOT/CLSID/{4E8A9E72-8942-40EF-88DF-A559152F6B41}] [-HKEY_CLASSES_ROOT/CLSID/{6E94CEC3-0C84-4310-AE20-CD4090178388}] Gem dette som clear.reg Under filnavn, sæt filtype til alle filer Eter du har gemt denne fil, dobbeltklik på den, og sig ja til at flette. Genstart. For at kunne se alle filer og mapper, så følg denne vejledning: Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis. Fjern flueben ved “Skjul beskyttede operativsystemfiler”. Fjern flueben ved “Skjul filtypenavne for kendte filtyper”. Sæt prik i “Vis skjulte filer og mapper”. Find denne fil system32.dll Det ligger sikkert de to steder her: c:/windows/system32/system32.dll c:/windows/system/system32.dll Delete dem. Du skal nu til at i gang med at fixe. Først skal du slå systemgendannelse fra. Hvis du ikke ved, hvordan du gør det så kig her: http://www.spywarefri.dk/virusscannere.htm#alle Kør en scanning med Hijackthis, så du kan se alle filer. Du får herunder nogle filer, som du skal fixe. Det, du skal gøre, er at sætte en vinge ud for disse filer. Når du har gjort det, så lukker du alle andre vinduer ned. Det er meget vigtigt at det eneste vindue, som er åbent er HijackThis vinduet. Husk også at lukke dette vindue, når du har markeret filerne. Nu må du fixe. Klik på Fix checked. Efter fix skal du genstarte din computer. Det er disse, som skal fixes: R1 - HKCU/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/Search,SearchAssistant = res://C:/WINNT/System32/opfjfp.dll/sp.html (obfuscated) R1 - HKLM/Software/Microsoft/Internet Explorer/Main,SearchURL = http://www.searchmaniacs.net/search.html R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Start Page = http://jksearch.biz/redir.php R1 - HKLM/Software/Microsoft/Internet Explorer/Main,Default_Page_URL = http://jksearch.biz/redir.php R1 - HKCU/Software/Microsoft/Internet Explorer/SearchURL,(Default) = about:blank R0 - HKCU/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php R0 - HKLM/Software/Microsoft/Internet Explorer/Main,Local Page = http://jksearch.biz/redir.php O2 - BHO: (no name) - {9009A3EE-97E0-4755-A82A-AFF935C163A6} - C:/WINNT/System32/opfjfp.dll (file missing) O2 - BHO: (no name) - {9F5B4E53-8984-4C9B-81B5-2F89321F5ABD} - C:/WINNT/System32/hfgacbc.dll (file missing) O2 - BHO: (no name) - {B106C7D5-BB8D-4DB4-A27C-03ABB73C5413} - C:/WINNT/System32/mhdnf.dll (file missing) O2 - BHO: (no name) - {C72E3182-DCCD-44FB-B153-E6D510136994} - C:/WINNT/System32/cbddjla.dll (file missing) O2 - BHO: (no name) - {D540364A-28B5-48A7-8F87-0943078C24AD} - (no file) O2 - BHO: (no name) - {FC84F334-5168-4D22-91D4-D62897E92E8F} - C:/WINNT/System32/kgpcf.dll (file missing) O4 - HKCU/../Run: [System Update4] c:/docume~1/ahje/applic~1/tskman.exe O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1 O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) —————————————————————————————————— Dem her kan du også med fordel fixe. De forsvinder ikke, kun fra run, og her ligger de bare og sluger dine kræfter: O4 - HKLM/../Run: [HotKeysCmds] C:/WINNT/System32/hkcmd.exe O4 - HKLM/../Run: [QuickTime Task] “C:/Programmer/QuickTime/qttask.exe” -atboottime O4 - HKLM/../Run: [NeroCheck] C:/WINNT/system32/NeroCheck.exe —————————————————————————————————- For at kunne se alle filer og mapper, så følg denne vejledning: Åbn en mappe, klik på Funktioner >Mappeindstillinger >Vis. Fjern flueben ved “Skjul beskyttede operativsystemfiler”. Fjern flueben ved “Skjul filtypenavne for kendte filtyper”. Sæt prik i “Vis skjulte filer og mapper”. Genstart i fejlsikret tilstand søg og slet det med fed: c:/docume~1/ahje/applic~1/tskman.exe Genstart din computer. Du skal også lige hente og installere programmet Ad-aware hvis du da ikke har det i forvejen. Opdater det straks efter installationen, og inden du kører en scanning med denne. Fjern alt hvad den finder. Programmet samt brugervejledning på dansk finder du her: http://www.spywarefri.dk/vaerktoj.htm#adaware Genstart din computer, kør en ny scanning med HijackThis, kopier en ny log herind til tjek. Skal lige høre om denne er noget du selv har installeret: O4 - HKLM/../Run: [VpnLoginApplet] C:/WINNT/vpnloginapplet