Prøv at køre denne vejledning igennem:

Hent denne scanner.
Dr.Web
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe eller her
http://spywareinfo.dk/download/drweb-cureit.exe

Billedvejledning
http://fromsej.dk/Vejledninger/html/drweb.html

Hent denne scanner:
Ewido
http://www.spywarefri.dk/downloads1/ewido-setup.exe

Installer og kør Ewido
Opdater straks efter installationen programmet (men lad være med at scanne endnu).

Hent og installer denne scanner:
SAS
http://www.superantispyware.com/downloads/SUPERAntiSpyware1241.exe

Start superantispyware, klik på Check for updates, når det er opdateret, luk programmet og genstart i fejlsikret.

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik “Yes to All”, så fjerner den hvad den finder.
Når scanningen er færdig, gå op i file – Tryk på- Save Report list.
Så ligger der en en fil der her hedder “drweb.csv” på skrivebordet.
Luk Programmet.

Start superantispyware, klik på Scan your Computer, sæt flueben i de drev der skal scannes.
(Fixed disk betyder harddisk)
Flyt prikken til Perform complete scan og klik på Næste, så kører scanningen.

Når den er færdig kommer der et vindue med en opsummering, klik på OK, klik så på næste og så på Udfør.

Der kommer et vindue med Quarantine and removal Complete, klik på OK, klik på Udfør.
Luk programmet.

Stadig i fejlsikret:
Kør en fuld scanning med Ewido. Programmet laver en lille log, som du skal kopiere herind.

Genstart normalt.

Start superantispyware igen, klik på Preferences, skift til fanebladet Statistics/Logs, i vinduet dobbeltklikker du på SUPERAntiSpyware Scan Log, den åbner i notesblok, kopier resultatet herind.
Dobbeltklik på drweb.csv og kopier teksten fra den herind.

Hent Hijackthis http://www.spywarefri.dk/downloads1/Alternativ.exe

Kør Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

Lad være med at slette noget selv med Hijackthis, det kan skade mere end det gavner.

Så kom jeg endelig igennem det hele…

Det har dog ikke hjulpet indtil videre, scannerne ser ikke ud til at have fundet andet end nogle enkelte tracking cookies…

Dr.Web log:

——————————————————————————————————————-
Scan statistics
——————————————————————————————————————-
Objects scanned: 305826
Infected objects found: 0
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 0
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 156 Kb/s
Scan time: 03:56:57
——————————————————————————————————————-

SAS log:
SUPERAntiSpyware Scan Log
Generated 09/27/2006 at 10:24 AM

Core Rules Database Version : 0
Trace Rules Database Version: 0

Memory threats detected   : 0
Registry threats detected : 0
File threats detected   : 15

Adware.Tracking Cookie
C:\Documents and Settings\fl\Cookies\fl@ad1.emediate[1].txt
C:\Documents and Settings\fl\Cookies\fl@ad1.hardware[1].txt
C:\Documents and Settings\fl\Cookies\fl@adinterax[2].txt
C:\Documents and Settings\fl\Cookies\fl@adserver.banneradministration[2].txt
C:\Documents and Settings\fl\Cookies\fl@bannere.fyens[2].txt
C:\Documents and Settings\fl\Cookies\fl@radiotracker[2].txt
C:\Documents and Settings\fl\Cookies\fl@radiotracker[3].txt
C:\Documents and Settings\fl\Cookies\fl@radiotracker[4].txt
C:\Documents and Settings\fl\Cookies\fl@toplist[1].txt
C:\Documents and Settings\fl\Cookies\fl@track.adform[2].txt
Z:\C drev\Documents and Settings\fl\Cookies\fl@ad1.emediate[2].txt
Z:\C drev\Documents and Settings\fl\Cookies\fl@adsense[1].txt
Z:\C drev\Documents and Settings\fl\Cookies\fl@banner.t-online[2].txt
Z:\C drev\Documents and Settings\fl\Cookies\fl@track.adform[2].txt
Z:\C drev\Documents and Settings\fl\Cookies\fl@xiti[1].txt

Ewido log:
————————————————————————————-
ewido anti-spyware - Scan Report
————————————————————————————-

+ Created at: 15:24:00 27-09-2006

+ Scan result:

Nothing found.
::Report end

Hijack This log:

Logfile of HijackThis v1.99.1
Scan saved at 15:27:50, on 27-09-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmer\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programmer\Fælles filer\Anoto\2.0\caspar.exe
C:\Programmer\ewido anti-spyware 4.0\guard.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmer\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programmer\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
c:\totalcmd\totalcmd.exe
D:\spyware\alternativ.exe
C:\Programmer\Trend Micro\OfficeScan Client\temp\upgrade.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: Shell=c:\totalcmd\totalcmd.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google; - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: RSS Feeds Toolbar - {4A5BE5EE-CFAD-11D9-8FAD-0007E9AA247E} - C:\Programmer\RSS Feeds Toolbar\RSS.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] “C:\Programmer\Trend Micro\OfficeScan Client\pccntmon.exe” -HideWindow
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmer\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [OneTechDrive] “C:\Programmer\Ahead\Nero BackItUp\OneTechDrive.exe”
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programmer\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe Acecad
O4 - HKLM\..\Run: [ZPOINT32] C:\WINDOWS\system32\ZPOINT32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmer\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programmer\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [ShowIcon_The Company_USB Product Driver v2.16r002] “C:\Programmer\USB Product Driver v2.16r002\shwicon.exe” -t"The Company\USB Product Driver v2.16r002”
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] “C:\Programmer\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe”
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [z:\C drev\Programmer\Fælles filer\ACD Systems\EN\DevDetect.exe -autorun] DevDetect.exe -autorun
O4 - HKLM\..\Run: [Adobe Version Cue CS2] “C:\Programmer\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe”
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] “C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe”
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [!ewido] “c:\Programmer\ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TotalCMD] C:\totalcmd\totalcmd
O4 - HKCU\..\Run: [NBJ] “C:\Programmer\Ahead\Nero BackItUp\NBJ.exe”
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programmer\WashAndgo\checker.exe /check
O4 - HKCU\..\Run: [MSMSGS] “C:\Programmer\Messenger\msmsgs.exe” /background
O4 - HKCU\..\Run: [UVC] C:\Programmer\UVC\UVC.exe -bootstart
O4 - HKCU\..\Run: [RssReader] C:\Programmer\RssReader\RssReader.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Hurtig start af Microsoft Office OneNote 2003.lnk = C:\Programmer\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Acrobat Hurtigstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = ?
O4 - Global Startup: Docking Director.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 2.lnk = C:\Programmer\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: YellowNotes.lnk = ?
O8 - Extra context menu item: &Google;-søgning - res://c:\programmer\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Overs;æt engelsk ord - res://c:\programmer\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&ksporter; til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Konverter hyperlinkdestination til Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter hyperlinkdestination til eksisterende PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter markering til Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter markering til eksisterende PDF-fil - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter til Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konverter til eksisterende PDF-fil - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konverter valgte hyperlinks til Adobe PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Konverter valgte hyperlinks til eksisterende PDF - res://C:\Programmer\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Lignende sider - res://c:\programmer\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tilbage via links - res://c:\programmer\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Øjebliksbillede af side i cache - res://c:\programmer\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.al-netbank.dk
O15 - Trusted Zone: http://www.ats.dk
O15 - Trusted Zone: http://www.dinavis.dk
O15 - Trusted Zone: http://www.djh.dk
O15 - Trusted Zone: http://www.dts-manager.dk
O15 - Trusted Zone: http://silkeborg-ts2.net.dynamicweb.dk
O15 - Trusted Zone: http://www.map24.dk
O15 - Trusted Zone: http://www.metroxpress.dk
O15 - Trusted Zone: http://www.mja.dk
O15 - Trusted Zone: http://www.silkeborg.dk
O15 - Trusted Zone: http://www.silkeborgbibliotek.dk
O15 - Trusted Zone: http://www.silkehs.dk
O15 - Trusted Zone: http://www.silkets.dk
O15 - Trusted Zone: http://www.tv2oestjylland.dk
O15 - Trusted Zone: http://www.tv2oj.dk
O16 - DPF: {00460182-9E5E-11D5-B7C8-B8269041DD57} (DSO Framer Control Object) - http://silkeborg-ts2.net.dynamicweb.dk/admin/dsoframer.ocx
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.geograf.com/viewer/mgaxctrl.cab
O16 - DPF: {D5F6D15F-58C7-4472-A5D8-15F021CFA86E} (Install Class) - http://www.hamelindigital.net/downloads/cab/DNOSWebCtrl.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmer\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe” -win32service (file missing)
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programmer\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: AnotoCasparService - Anoto AB - C:\Programmer\Fælles filer\Anoto\2.0\caspar.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmer\ewido anti-spyware 4.0\guard.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programmer\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programmer\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Wintab32 - Unknown owner - C:\WINDOWS\system32\Wintab32.exe

Jeg begynder efterhånden at tro at det er microsoft’s windows der er problemet og ikke noget virus/spyware… Medmindre der er et rootkit der har kørt systemet i knæ...

Der er også tegn i din log på at styresystemet måske er ustabilt. Men prøv lige at gøre følgende:

Kør Hijackthis, vælg “Do a system scan only”, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked.

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmer\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Prøv også at gå ind på følgende hjemmeside:
http://virusscan.jotti.org/

Klik på Gennemse, og klik dig så frem til C:\Programmer\UVC\UVC.exe

Klik så Submit. Så kommer der en lille log over forskellige scanninger frem. Den må du gerne klippe ind i næste svar.

Altså
F2 - REG:system.ini: Shell=c:\totalcmd\totalcmd.exe
Har jeg selv lavet, da explorer jo ikke kører, så nu bruger jeg bare totalcmd som shell…

Loggen fra jotti

Service load: 
0%      100%
File:  UVC.exe
Status: OK
MD5 a71fc7ae1f2e10b80898667bb81cd121
Packers detected: 
-
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

Og det virker stadig ikke når jeg starter explorer.exe, så lukkes den med det samme igen… Også efter en genstart! :(

Hej xelajd

Er det en rigtig repair du har foretaget dig af dit system? Altså udskiftet hele systemet, men hvor du samtidig har bevaret alle dine prg. mm. Hvis ikke, syntes jeg du skal prøve det.

http://www.spywareinfo.dk/#/tip-og-tricks/repair-xp.htm

Hvis SP2 ikke er på din Windows cd, anbefaler vi du hentet og brænder det ned først, så du ikke går på Nettet første gang uden denne pakke. Den forsvinder nemlig helt ved at køre repair.

Enten kan du hente SP2 via Microsoft eller via [url=“http://intern.sdu.dk/enheder/it-service/tjenester/ftphotel/ftpindhold/”] 
denne adresse[/url] hvor det går lidt hurtigere, at få det hentet hjem. NB. Husk at vælge den rigtige sprogpakke.

ALtså jeg har forsøgt at lave en rigtig repair…

Boot fra windows xp sp2 cd, tryk enter for at installere (trykker ikke R for reperationskonsol), f8 for at acceptere og så R for at reparere den nuværende installation, hvor den overskriver systemfilerne med dem fra windows cd’en…

Jeg har forsøgt en systemfil-check 3 gange med kommandoen “sfc /scannow”... Det hjælper heller ikke…

Vi kan lige prøve at bore lidt for at se om det skulle være rootkit.

Men lige et par spørgsmål først.
Kender du denne:
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
http://www.bleepingcomputer.com/startups/rundll32_srclient.dll_CreateFirstRunRp-5153.html

For det er en linje, vi normalt ikke ser i en log.

Og har du selv installeret det her ?:
http://www.tucows.com/preview/321789

—Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

—Kør så combofix.exe, som du hentede tidligere, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C: combofix txt
Indholdet af denne fil må du gerne lægge herind og fortælle hvordan computeren kører.

Det første (O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp), ikke noget jeg umiddelbart kender til. Jeg har forsøgt med et system restore point, men det hjalp ikke… Kan det tænkes at det er der den kom fra? Men jeg har ikke gjort noget aktivt for at få den til at stå der…

UVC har jeg selv installeret ja - bruger kalender-delen af det..

Computeren er i gang med en ComboFix - poster loggen når den en gang bliver færdig…

Combofix log:

fl - 06-09-28 15:10:16.75   Service Pack 2
ComboFix 06.09.28 - Running from: “E:\spyware”

(((((((((((((((((((((((((((((((  Files Created from 2006-08-28 to 2006-09-28 ))))))))))))))))))))))))))))))))))

2006-09-26 10:13 87,424—a———C:\WINDOWS\system32\drivers\irda.sys
2006-09-26 10:13 8,192—a———C:\WINDOWS\system32\wshirda.dll
2006-09-26 10:13 27,648—a———C:\WINDOWS\system32\irmon.dll
2006-09-26 10:13 153,088—a———C:\WINDOWS\system32\irftp.exe
2006-09-26 09:52 20,992—a———C:\WINDOWS\system32\drivers\RTL8139.sys
2006-09-26 09:51 19,584—a———C:\WINDOWS\system32\drivers\rasirda.sys
2006-09-26 09:48 24,661—a———C:\WINDOWS\system32\spxcoins.dll
2006-09-26 09:48 13,312—a———C:\WINDOWS\system32\irclass.dll
2006-09-22 12:54 76,560—a———C:\WINDOWS\system32\drivers\tmcomm.sys

((((((((((((((((((((((((((((((((((((((((((((((((  Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-09-28 08:33————d————C:\Programmer\GRISOFT
2006-09-27 13:01————d————C:\Programmer\ewido anti-spyware 4.0
2006-09-26 12:10————d————C:\Programmer\SUPERAntiSpyware
2006-09-26 12:10————d————C:\Documents and Settings\fl\Application Data\SUPERAntiSpyware.com
2006-09-26 12:09————d————C:\Programmer\F‘lles filer\Wise Installation Wizard
2006-09-26 12:09————d————C:\Programmer\F‘lles filer
2006-09-26 10:18————d————C:\Programmer\Windows Media Player
2006-09-25 10:46————d————C:\Programmer\Outlook Express
2006-09-25 10:46————d————C:\Programmer\Internet Explorer
2006-09-25 10:46————d————C:\Programmer\F‘lles filer\System
2006-09-22 12:53————d————C:\Documents and Settings\fl\Application Data\Mozilla
2006-09-22 11:26————d————C:\Documents and Settings\fl\Application Data\Ipswitch
2006-09-22 10:17————d————C:\Programmer\PtLens
2006-09-22 07:45————d————C:\Programmer\UVC
2006-09-21 15:00————d————C:\Programmer\Vig
2006-09-21 14:58————d————C:\Documents and Settings\fl\Application Data\Skype
2006-09-21 14:57————d————C:\Programmer\MEDIAPLANNER
2006-09-21 14:56 2419—a———C:\Documents and Settings\fl\Application Data\.googlewebacchosts
2006-09-21 14:55————d————C:\Programmer\ArchiveCreator3
2006-09-20 08:15————d————C:\Documents and Settings\fl\Application Data\Canon
2006-09-20 08:13————d—h——- C:\Programmer\InstallShield Installation Information
2006-09-20 08:13————d————C:\Programmer\F‘lles filer\Canon
2006-09-19 11:49————d————C:\Documents and Settings\fl\Application Data\kiwi.software.NET
2006-09-11 15:38————d————C:\Documents and Settings\fl\Application Data\Adobe
2006-08-31 13:29————d————C:\Programmer\Google
2006-07-17 13:48 73216—a———C:\WINDOWS\ODEUNST.EXE
2006-07-17 13:48 327680—a———C:\WINDOWS\Setup1.exe
2006-07-17 13:48 151622—a———C:\WINDOWS\modcas.dll
2006-07-17 13:48 1385744—a———C:\WINDOWS\msvbvm60.dll
2006-07-17 13:48 101888—a———C:\WINDOWS\odestkit.dll

((((((((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NBJ”=”\“C:\\Programmer\\Ahead\\Nero BackItUp\\NBJ.exe\”“
“ctfmon.exe”=“C:\\WINDOWS\\system32\\ctfmon.exe”
“WashAndGo - Cleanup of old Backupfiles”=“C:\\Programmer\\WashAndgo\\checker.exe /check”
“MSMSGS”=”\“C:\\Programmer\\Messenger\\msmsgs.exe\” /background”
“UVC”=“C:\\Programmer\\UVC\\UVC.exe -bootstart”
“RssReader”=“C:\\Programmer\\RssReader\\RssReader.exe”
“SUPERAntiSpyware”=“C:\\Programmer\\SUPERAntiSpyware\\SUPERAntiSpyware.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“OfficeScanNT Monitor”=”\“C:\\Programmer\\Trend Micro\\OfficeScan Client\\pccntmon.exe\” -HideWindow”
“SoundMan”=“SOUNDMAN.EXE”
“zBrowser Launcher”=“C:\\Programmer\\Logitech\\iTouch\\iTouch.exe”
“OneTechDrive”=”\“C:\\Programmer\\Ahead\\Nero BackItUp\\OneTechDrive.exe\”“
“Picasa Media Detector”=“C:\\Programmer\\Picasa2\\PicasaMediaDetector.exe”
“Acecad.Wtxpload”=“C:\\WINDOWS\\Acecad\\Wtxpload.exe Acecad”
“ZPOINT32”=“C:\\WINDOWS\\system32\\ZPOINT32.exe”
“SunJavaUpdateSched”=“C:\\Programmer\\Java\\jre1.5.0_06\\bin\\jusched.exe”
“AdobeVersionCue”=“C:\\Programmer\\Adobe\\Adobe Version Cue\\ControlPanel\\VersionCueTray.exe”
“ShowIcon_The Company_USB Product Driver v2.16r002”=”\“C:\\Programmer\\USB Product Driver v2.16r002\\shwicon.exe\” -t\“The Company\\USB Product Driver v2.16r002\”“
“NeroCheck”=“C:\\WINDOWS\\system32\\NeroCheck.exe”
“KG Soft Mediaplanner”=”“
“RoxioDragToDisc”=”\“C:\\Programmer\\Roxio\\Easy Media Creator 7\\Drag to Disc\\DrgToDsc.exe\”“
“SM1BG”=“C:\\WINDOWS\\SM1BG.EXE”
“pdfSaver3”=”“
“Logitech Utility”=“Logi_MwX.Exe”
“z:\\C drev\\Programmer\\Fælles filer\\ACD Systems\\EN\\DevDetect.exe -autorun”=“DevDetect.exe -autorun”
“Adobe Version Cue CS2”=”\“C:\\Programmer\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\”“
“Acrobat Assistant 7.0”=”\“C:\\Programmer\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\”“
@=”“
“NvCplDaemon”=“RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup”
“nwiz”=“nwiz.exe /install”
“Device Detector”=“DevDetect.exe -autorun”
“!ewido”=”\“c:\\Programmer\\ewido anti-spyware 4.0\\ewido.exe\” /minimized”
“SRFirstRun”=“rundll32 srclient.dll,CreateFirstRunRp”
“NvMediaCenter”=“RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit”
“TotalCMD”=“C:\\totalcmd\\totalcmd”
“KernelFaultCheck”=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
  65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
“Installed”=“1”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
“Installed”=“1”
“NoChange”=“1”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
“Installed”=“1”

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
“DeskHtmlVersion”=dword:00000110
“DeskHtmlMinorVersion”=dword:00000005
“Settings”=dword:00000001
“GeneralFlags”=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Min aktuelle startside”
“Flags”=dword:00000002
“Position”=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,03,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
“CurrentState”=hex:04,00,00,40
“OriginalStateInfo”=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
“RestoredStateInfo”=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
  00,00,01,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”=”“
“{57B86673-276A-48B2-BAE7-C6DBB3020EB8}”=“ewido anti-spyware 4.0”
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”=”“

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=”“
“legalnoticetext”=”“
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001
“DisableCAD”=dword:00000000

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091
“CDRAutoRun”=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
“PostBootReminder”=”{7849596a-48ea-486e-8937-a2a3009f31a9}”
“CDBurn”=”{fbeb8a05-beee-4442-804e-409d6c4515e9}”
“WebCheck”=”{E6FB5E20-DE35-11CF-9C87-00AA005127ED}”
“SysTray”=”{35CEC8A3-2BE6-11D2-8773-92E220524153}”

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll

Completion time: 06-09-28 15:11:12.71
ComboFix.txt

explorer.exe lukker stadig efter jeg har startet den, nogle gange når man lige at få et glimt af proces-linjen, andre gange blinker skærmen bare en enkelt gang…

Ok, jeg er lidt i tvivl om, hvorvidt der er rootkits i din log, men nu prøver vi lige at køre et par checks. Jeg overfører derfor tråden til Rootkit-kategorien. Der gælder nogle særlige forhold for supporten i denne kategori, som du kan læse om her:

http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29320

Start med følgende:

(1) Gå ned på bunden af denne side, og download Rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

Pak filen ud til en mappe på skrivebordet. Tag netstikket ud af computeren, og luk alle åbne vinduer. Åbn rootkitrevealer-mappen, og dobbeltklik på rootkitrevealer.exe
Klik på Options, og sørg for, at der er flueben ud for “Hide standard NTFS Metadata files”. Klik så på Scan, nederst til højre. Imens programmet scanner må du ikke bruge computeren til andre ting. Når scanningen er færdig, klik på File igen, vælg Save og gem logfilen. Kopier RootkitReveal.txt herind.

(2) Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik “iaccept”. På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

(3)Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer.zip
Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Altså, jeg har selv været ved at tro at det har været rootkit eller lignende. Jeg har endda scannet med AVG Antirootkit (beta) - men den fandt ikke noget.

OG ang support, så er det ganske ok - hellere langsom support end at give op og formatere… Der er nemlig en forfærdelig masse programmer på pc’en…

Rootkitrevealer log
HKLM\S-1-5-21-1059337209-548998216-452798024-1086\Software\Adobe\MediaBrowser\MRU\GoLive\ApplicationPath 06-07-07 13:08 43 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1059337209-548998216-452798024-1086\Software\Adobe\MediaBrowser\MRU\indesign\ApplicationPath 06-09-08 14:25 51 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1059337209-548998216-452798024-1086\Software\Adobe\MediaBrowser\MRU\Photoshop\ApplicationPath 06-09-15 09:24 53 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 06-09-29 07:48 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\TotalScanned 06-09-29 07:48 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\LastScannedFileName 06-09-29 07:48 89 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc.\Synchronize 06-09-29 07:48 4 bytes Data mismatch between Windows API and raw hive data.

Blacklight log
09/29/06 08:54:35 [Info]: BlackLight Engine 1.0.47 initialized
09/29/06 08:54:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/29/06 08:54:35 [Note]: 7019 4
09/29/06 08:54:35 [Note]: 7005 0
09/29/06 08:54:48 [Note]: 7006 0
09/29/06 08:54:48 [Note]: 7027 1
09/29/06 08:54:48 [Note]: 7027 0
09/29/06 08:54:49 [Note]: 7026 0
09/29/06 08:54:49 [Note]: 7026 0
09/29/06 08:55:04 [Note]: FSRAW library version 1.7.1020
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:36 [Note]: 2000 1012
09/29/06 09:00:37 [Error]: 6023 5
09/29/06 09:23:06 [Note]: 7007 0

Gmer log
GMER 1.0.11.11384 - http://www.gmer.net
Rootkit 2006-09-29 09:44:58
Windows 5.1.2600 Service Pack 2

——System - GMER 1.0.11——

SSDT \??\C:\Programmer\ewido anti-spyware 4.0\guard.sys                                         ZwOpenProcess
SSDT \??\C:\Programmer\ewido anti-spyware 4.0\guard.sys                                         ZwTerminateProcess

——Files - GMER 1.0.11——

ADS   ...                                                                       
ADS   Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg:Q30lsldxJoudresxAaaqpcawXc            
ADS   Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}     
ADS   Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg:Q30lsldxJoudresxAaaqpcawXc        
ADS   Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} 
ADS   Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Billede1.emf:Q30lsldxJoudresxAaaqpcawXc        
ADS   ...                                                                       

——EOF - GMER 1.0.11——

Der var ikke det helt store i rootkit-loggene. Der var nogle ADS på nogle billeder:

Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg:Q30lsldxJoudresxAaaqpcawXc
Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg:Q30lsldxJoudresxAaaqpcawXc
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Billede1.emf:Q30lsldxJoudresxAaaqpcawXc

Er det nogle billeder du selv har taget, eller er det nogle du har downloadet fra nettet? Hvis deres oprindelse er lidt usikker, så prøv følgende:

Kør Hijackthis, Klik på “Open the Misc tools section”, “Open ADS spy…”, fjern alle flueben, og klik på den øverste “Scan”-knap. Når scanningen er færdig, så klik på “Save log”, gem loggen et sted hvor du kan finde den igen, og læg indholdet herind.

Billederne er nogle jeg selv har taget / fremstillet… Så der skulle helst ikke være noget med dem…

Ads spy log

C:\Documents and Settings\All Users\Dokumenter\Billeder\Billedeksempler\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Dokumenter\Billeder\2005-08-12\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Dokumenter\Billeder\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Dokumenter\fremlaeggelse2.JPG : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Dokumenter\Version Cue\STS-NYT\documents\STS-Nyt02 - 2006\Links\cirkus pantone 1\cirkus pantone 2\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Dokumenter\Version Cue\STS-NYT\documents\STS-Nyt02 - 2006\Links\cirkus pantone 1\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Skrivebord\ny\Hotel og Restaurantskolen Silkeborg\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Skrivebord\Pen\DENOS_15_patch.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Pen\PenUpdate_15_tool.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\Adobe_Raw\Camera_Raw_2_4.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\Adobe_Raw\DNG_Camera_Raw_2_4.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\Canon20D\Canon20DCSproPlugin.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\Canon20D\Canon_CanonEOS20D.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\NoiseNinjaPlugin_Win32_2_1_2\Canon_CanonEOS20D.zip : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Programmer\Type\atm41dan.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Skrivebord\TravelDisk-Windows98\Thumbs.db : encryptable (0 bytes)
C:\Documents and Settings\fl\Skrivebord\TravelDisk-Windows98\TravelDisk-Windows98.exe : Zone.Identifier (26 bytes)
C:\Documents and Settings\fl\Skrivebord\WorldSkills\Thumbs.db : encryptable (0 bytes)
C:\Nyt\Thumbs.db : encryptable (0 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\ApogeeX.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Dansk_Fagpresse_Avis.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\DGJ_D6_PC_Std_v2.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\DGJ_PDF_IND_CS_Preset_Std_PC.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\DXP_Joboptions_Dist6.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\file-616-80621-23291.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\FlowDrive.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\flowdrive_joboptions.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Joboptions.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Newsp.AdsDK_1v2.joboptions.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Panorama.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\PDFoptionsAMPC.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Prinfo\Prinfo_Aalborg_Arc4.hqx : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Prinfo_Aalborg_Arc4.hqx : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\Prinfo_Aalborg_Arc4.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Acrobat 7.0\Distillr\Settings\prinfo_standard_200.joboptions : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Photoshop CS2\Ekstramoduler\Canon20D\Canon_CanonEOS20D.zip : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Photoshop CS2\Forudindstillinger\Pensler\Adobe Photoshop Only\holes.abr : Zone.Identifier (26 bytes)
C:\Programmer\Adobe\Adobe Photoshop CS2\Forudindstillinger\Photoshop-handlinger\xFrame.ATN : Zone.Identifier (26 bytes)
C:\Programmer\ArcSoft\ShowBiz\contents\contents1\Thumbs.db : encryptable (0 bytes)
C:\Programmer\IrfanView\Languages\dansk.zip : Zone.Identifier (26 bytes)
C:\Programmer\IrfanView\Plugins\canon_crw.zip : Zone.Identifier (26 bytes)
C:\Programmer\IrfanView\Plugins\iv_effects.zip : Zone.Identifier (26 bytes)
C:\Programmer\IrfanView\Plugins\iv_formats.zip : Zone.Identifier (26 bytes)
C:\Programmer\IrfanView\Plugins\iv_misc.zip : Zone.Identifier (26 bytes)
C:\Programmer\IrfanView\Plugins\iv_mmedia.zip : Zone.Identifier (26 bytes)
C:\Programmer\Microsoft Office\CLIPART\PUB60COR\Thumbs.db : encryptable (0 bytes)
C:\Programmer\Microsoft Office\MEDIA\CAGCAT10\Thumbs.db : encryptable (0 bytes)
C:\Programmer\Nokia Digital Pen\Nokia_Digital_Pen_Software.zip : Zone.Identifier (26 bytes)
C:\Programmer\Picasa2\setup.exe : Zone.Identifier (26 bytes)
C:\Programmer\Roxio\Easy Media Creator 7\Label Creator\Backgrounds\Thumbs.db : encryptable (0 bytes)
C:\Programmer\Roxio\Easy Media Creator 7\Sound Editor\Skin\1028\Thumbs.db : encryptable (0 bytes)
C:\WINDOWS\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Annoncer2005\Den lokale telefonbog\Ann_DenLokaleTlfBog_2005-mappe\Links\zIPDOKUMENTER\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Annoncer2005\HTX2005\Powerpoint\powerbasis-mappe\powerbasis.jpg : Q30lsldxJoudresxAaaqpcawXc (2456 bytes)
D:\20050707_112216_fl\Annoncer2005\HTX2005\Powerpoint\powerbasis-mappe\powerbasis.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
D:\20050707_112216_fl\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg : Q30lsldxJoudresxAaaqpcawXc (2460 bytes)
D:\20050707_112216_fl\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
D:\20050707_112216_fl\Billeder\Bestyrelsen\Hamburg\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\drage2005\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\H&R\Midtjyskmesterskab2005\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\H&R\Presse_DM_KokTjener2005\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\H&R\SmagensDag2005\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\HTX\Sune_2005\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\Malerskolen\Cirkus Pantone\cirkus pantone 1\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\Malerskolen\Cirkus Pantone\cirkus pantone 2\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\Malerskolen\Skiltemalerklasse_Juni06\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Billeder\tacks\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\DOWNLOAD\Acd\1194.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Acd\1195.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Acd\1198.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Acd\acdsee.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\Camera_Raw_2_4.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\DNG_Camera_Raw_2_4.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\Indesign\BookletCE1.00.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\Indesign\BusinessCardsCE1.00.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\StudioExchange\PhotoShop\andreastyles.asl : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\StudioExchange\PhotoShop\formasandrea2.csh : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\StudioExchange\PhotoShop\holes.abr : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\StudioExchange\PhotoShop\mm_waterclr.atn : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Adobe\wooden-headed.atn : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Canon\Canon_20D_Raw_MichaelTapes.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Canon\CHROMiXColorThink212Setup.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Canon\PRDemoPackage.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\imagenomic\NoisewareProPluginSetup3403.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\mtinst.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\NIK\SHP_2[1].0_Cpl_Update_Win_ENG.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Nokia_Pen\Nokia_Digital_Pen_Software_17A.zip : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\Stone\summa2.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\WashAndGo\washandgofull.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\DOWNLOAD\windowsxp-kb829558-x86-enu.exe : Zone.Identifier (26 bytes)
D:\20050707_112216_fl\Dubilæum\nn&pjk;\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\Dubilæum\Thumbs.db : encryptable (0 bytes)
D:\20050707_112216_fl\FindMadsen\Find_SonsBryllup\Thumbs.db : encryptable (0 bytes)
D:\Mediaplanner\office2003-KB907417-FullFile-DAN.exe : Zone.Identifier (26 bytes)
D:\Mediaplanner\q243835i.exe : Zone.Identifier (26 bytes)
D:\Version Cue\STS-NYT\documents\STS-Nyt02 - 2006\Links\cirkus pantone 1\cirkus pantone 2\Thumbs.db : encryptable (0 bytes)
D:\Version Cue\STS-NYT\documents\STS-Nyt02 - 2006\Links\cirkus pantone 1\Thumbs.db : encryptable (0 bytes)
Z:\C drev\Annoncer\Annoncer2005\Den lokale telefonbog\Ann_DenLokaleTlfBog_2005-mappe\Links\zIPDOKUMENTER\Thumbs.db : encryptable (0 bytes)
Z:\C drev\Annoncer\Annoncer2005\EUD2005\EudInfoAnn_6spx100mm_jan05-mappe\Links\Thumbs.db : encryptable (0 bytes)
Z:\C drev\Annoncer\Annoncer2005\Generel\Ann_Forside_Generel\Ann_Forside_Generel_2005-mappe\Links\Thumbs.db : encryptable (0 bytes)
Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg : Q30lsldxJoudresxAaaqpcawXc (2460 bytes)
Z:\C drev\Annoncer\Annoncer2005\HTX2005\Powerpoint\WwwTsoDk.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Annoncer\Annoncer2005\Silkeborg_Virketrang & albuerum\Links\Thumbs.db : encryptable (0 bytes)
Z:\C drev\billeder\Infomøder_feb2005\343CANON\Thumbs.db : encryptable (0 bytes)
Z:\C drev\billeder\JohnB\Thumbs.db : encryptable (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg : Q30lsldxJoudresxAaaqpcawXc (5244 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\anette[1].jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Billede1.emf : Q30lsldxJoudresxAaaqpcawXc (5172 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Billede1.emf : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\DPP_0001.JPG : Q30lsldxJoudresxAaaqpcawXc (6100 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\DPP_0001.JPG : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Eksempel.jpg : Q30lsldxJoudresxAaaqpcawXc (4592 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Eksempel.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\get_adobe_reader.gif : Q30lsldxJoudresxAaaqpcawXc (3116 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\get_adobe_reader.gif : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Pannerup.jpg : Q30lsldxJoudresxAaaqpcawXc (4324 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\Pannerup.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\rene.jpg : Q30lsldxJoudresxAaaqpcawXc (4708 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\rene.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\toben_g.jpg : Q30lsldxJoudresxAaaqpcawXc (5700 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\Billeder\toben_g.jpg : {4c8cc155-6c1e-11d1-8e41-00c04fb9386d}  (0 bytes)
Z:\C drev\Documents and Settings\fl\Dokumenter\SmagensDag\DCE\Thumbs.db : encryptable (0 bytes)
Z:\C drev\HTX\Htx_dimis11.zip : Zone.Identifier (26 bytes)
Z:\C drev\silkets\silkets2\erhverv\h&r\afgangsklasserjuni2003\bigimages\Thumbs.db : encryptable (0 bytes)
Z:\C drev\silkets\silkets2\erhverv\h&r\internationalkok\Thumbs.db : encryptable (0 bytes)
Z:\C drev\silkets\Thumbs.db : encryptable (0 bytes)
Z:\C drev\STS-NYT\STS-NYT maj2003\gokarts\Thumbs.db : encryptable (0 bytes)
Z:\drivere\sandberg pen pointer\63083_all_feb_03.exe : Zone.Identifier (26 bytes)

OK, så vil jeg også mene de må være ok. Jeg har bare aldrig før set at der skulle være ADS på billeder…

Foreløbig ser der ikke ud til at være nogle rootkits på din computer så. Vi kan lige prøve at tage et sidste check:

(1) Hent Rootkit Unhooker herfra, og pak det ud til en selvstændig mappe på skrivebordet:
http://fromsej.dk/download/RKU2022.rar

Kør RkUnhooker.exe fra den nyoprettede mappe. Klik på Setup-Run Always.

Genstart herefter computeren til fejlsikret tilstand. Hvis du ikke ved, hvordan man genstarter til fejlsikret tilstand, så se på dette link: http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=23&PN=1

Kør RkUnhooker, klik på fanebladet “Report”, klik på knappen “Refresh”, klik på “File-Save Report”, og gem rapporten et sted, hvor du kan finde den igen. Læg indholdet af denne rapport herind.

(2) Hent RAIDE-scanneren herfra, og pak den ud til en mappe på skrivebordet:
http://www.rootkit.com/vault/petersilberman/RAIDE_BETA_1.zip

Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet i den mappe, hvor “RAIDE” ligger. Når du gemmer filen, skal du kalde den runrcc.bat, og du skal sikre dig, at der under “Filtyper” står “Alle filer”:

——————
@echo off
echo yes|rcc.exe scan_all log>%systemdrive%\rcclog.txt
start %windir%\notepad.exe %systemdrive%\rcclog.txt
——————
Dobbeltklik herefter på runrcc.bat. Så vil et blankt sort vindue dukke op. Efter lidt tid lukker dette vindue ned, et notepad-vindue vil åbnes. Læg indholdet af denne fil herind.